GNiDiA来释释疑？？

咋回事哦？？

俺的MiniSafe没用PhysicalMemory对象，咋报警喃？？

俺可是良民啊，ZwOpenSection调都没调过，怎么也惹到你了啊？？？？

你说一个U盘保护，你至于用驱动嘛！

你说Hook了TerminateThread不稳定，人家江民Hook了，多稳定的啊？？

不过也很耗了些系统资源，看着都心痛。

人家HOOK的是openobject和insertapc吧

是啊，俺也看到了，但是好象是烟雾弹。

俺就恢复了TerminateThread，它就玩完了。

引用楼主zjjmj2002于2007-11-23 21:52发表的 GNiDiA来释释疑？？ :
咋回事哦？？

俺的MiniSafe没用PhysicalMemory对象，咋报警喃？？

不会吧，你用的KV是最新吗？现在KV2008已经不处理访问PhysicalMemory了。

而且我刚才下载运行了一下，并没有提示什么。

不过很不幸的是，蓝屏了

WRITE_ADDRESS:  fa15ae15

FAULTING_IP:
MiniSafe+1e15
fa15ae15 ??              ???

DEFAULT_BUCKET_ID:  CODE_CORRUPTION

BUGCHECK_STR:  0xCE

PROCESS_NAME:  MiniSafe.exe

TRAP_FRAME:  fa337ca0 -- (.trap 0xfffffffffa337ca0)
ErrCode = 00000010
eax=00000000 ebx=fa15ad58 ecx=8056b4fb edx=566b0076 esi=00c8e34c edi=fa337d64
eip=fa15ae15 esp=fa337d14 ebp=fa337d44 iopl=0         nv up ei pl zr na pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010246
<Unloaded_MiniSafe.sys>+0x1e15:
fa15ae15 ??              ???
Resetting default scope

IP_MODULE_UNLOADED:
MiniSafe+1e15
fa15ae15 ??              ???

LAST_CONTROL_TRANSFER:  from 804f89d7 to 80527fc8

STACK_TEXT:  
fa3377dc 804f89d7 00000003 fa15ae15 00000000 nt!RtlpBreakWithStatusInstruction
fa337828 804f95c4 00000003 00000000 c07d0ad0 nt!KiBugCheckDebugBreak+0x19
fa337c08 804f9aef 00000050 fa15ae15 00000008 nt!KeBugCheck2+0x574
fa337c28 8051d0d3 00000050 fa15ae15 00000008 nt!KeBugCheckEx+0x1b
fa337c88 8054090c 00000008 fa15ae15 00000000 nt!MmAccessFault+0x8e7
fa337c88 fa15ae15 00000008 fa15ae15 00000000 nt!KiTrap0E+0xcc
WARNING: Frame IP not in any known module. Following frames may be wrong.
fa337d10 faab04c9 ffb1a000 00000074 000003a0 <Unloaded_MiniSafe.sys>+0x1e15

你的工具好像有访问 physical memory 的操作吧？
老大，程序没看，你的驱动不是 Open Section 了么？

没看 ui 进程，但是你的程序自己就报自己哎。

恩，忘记说了，偶在 Vmware + winxp 中也搞出蓝屏过，好像是运行了个啥，嘿嘿，忘记了。

放代码啊放代码~

NTSTATUS NewZwOpenFile (PHANDLE FileHandle,ACCESS_MASK DesiredAccess,
POBJECT_ATTRIBUTES ObjectAttributes,PIO_STATUS_BLOCK IoStatusBlock,ULONG ShareAccess,
ULONG OpenOptions )

{
NTSTATUS status;

    
    ULONG pid=(ULONG)PsGetCurrentProcessId();
    if ((pid == AdminPid)||(pid < 200)||(pid == VipPid[1])||(pid == VipPid[1])||(pid == VipPid[2])
    ||(pid == VipPid[3])||(pid == VipPid[4])||(pid == VipPid[5])||(pid == VipPid[6])
    ||(pid == VipPid[7])||(pid == VipPid[8])||(pid == VipPid[9])||(pid == VipPid[10]))
    {
        status = OldZwOpenFile (FileHandle, DesiredAccess, ObjectAttributes, IoStatusBlock, ShareAccess, OpenOptions );            
        return status; //怪哉，就是这里出的问题！！！
    }

反汇编如下：
.text:00011DF7 loc_11DF7:                              ; CODE XREF: sub_11D58+17j
.text:00011DF7                                         ; sub_11D58+24j
.text:00011DF7                                         ; sub_11D58+2Fj
.text:00011DF7                                         ; sub_11D58+3Aj
.text:00011DF7                                         ; sub_11D58+45j
.text:00011DF7                                         ; sub_11D58+50j ...
.text:00011DF7                 mov     eax, [ebp+arg_14]
.text:00011DFA                 push    eax
.text:00011DFB                 mov     ecx, [ebp+arg_10]
.text:00011DFE                 push    ecx
.text:00011DFF                 mov     edx, [ebp+arg_C]
.text:00011E02                 push    edx
.text:00011E03                 mov     eax, [ebp+arg_8]
.text:00011E06                 push    eax
.text:00011E07                 mov     ecx, [ebp+arg_4]
.text:00011E0A                 push    ecx
.text:00011E0B                 mov     edx, [ebp+arg_0]
.text:00011E0E                 push    edx
.text:00011E0F                 call    dword_125D8
.text:00011E15                 mov     [ebp+var_28], eax   ;难道这样也不可以？？
.text:00011E18                 mov     eax, [ebp+var_28]
.text:00011E1B                 jmp     loc_11F0C

引用第8楼codez于2007-11-24 22:54发表的  :
你的工具好像有访问 physical memory 的操作吧？
老大，程序没看，你的驱动不是 Open Section 了么？

没看 ui 进程，但是你的程序自己就报自己哎。

.......

驱动里OpenSection是监视别人的，怎么会报我喃？？？

好极了，已经不报警了，Thanks GNiDiA。