trent

驱动老牛

注册日期2002-03-01
最后登录2014-09-18
粉丝0
关注0
积分61分
威望185点
贡献值0点
好评度2点
原创分0分
专家分0分

加关注写私信

阅读：2313回复：8

TDI hook 是否支持Windows 2008

楼主^#

更多发布于：2013-04-27 09:59

Hook \\Driver\\Tcpip 在2008下能成功，但没用，网上是说要hook tdx，没更详细信息。
有了解的吗？谢谢

喜欢0

我不仅要金子，我还要点石成金的手指！

iihacker

论坛版主

注册日期2010-01-07
最后登录2017-08-16
粉丝5
关注8
积分377分
威望1941点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

沙发^#

发布于：2013-04-27 18:13

不知道，attch试试

NDIS 1群74755180 NDIS 2群182802097 交换机软硬件技术群 187471475 FPGA PCI PCIE 群187471817

回复喜欢

trent

驱动老牛

注册日期2002-03-01
最后登录2014-09-18
粉丝0
关注0
积分61分
威望185点
贡献值0点
好评度2点
原创分0分
专家分0分

加关注写私信

板凳^#

发布于：2013-04-28 09:36

attach直接蓝了

我不仅要金子，我还要点石成金的手指！

回复喜欢

iihacker

论坛版主

注册日期2010-01-07
最后登录2017-08-16
粉丝5
关注8
积分377分
威望1941点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

地板^#

发布于：2013-04-28 18:04

win7 试过没有问题

NDIS 1群74755180 NDIS 2群182802097 交换机软硬件技术群 187471475 FPGA PCI PCIE 群187471817

回复喜欢

trent

驱动老牛

注册日期2002-03-01
最后登录2014-09-18
粉丝0
关注0
积分61分
威望185点
贡献值0点
好评度2点
原创分0分
专家分0分

加关注写私信

地下室^#

发布于：2013-05-02 09:57

attach果然可以，之前bsod是代码有问题。
但attach方式在卸载时会有IRP过来，随机导致BSOD，这个有什么办法吗？

谢谢

我不仅要金子，我还要点石成金的手指！

回复喜欢

iihacker

论坛版主

注册日期2010-01-07
最后登录2017-08-16
粉丝5
关注8
积分377分
威望1941点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

5楼^#

发布于：2013-05-02 12:55

这个没有办法。

NDIS 1群74755180 NDIS 2群182802097 交换机软硬件技术群 187471475 FPGA PCI PCIE 群187471817

回复喜欢

trent

驱动老牛

注册日期2002-03-01
最后登录2014-09-18
粉丝0
关注0
积分61分
威望185点
贡献值0点
好评度2点
原创分0分
专家分0分

加关注写私信

6楼^#

发布于：2013-05-02 14:08

好的，谢谢斑竹。

我看有评论说attach方式为了避免BSOD，实际在unload不处理，卸载依赖重启，这倒是一个路子，就是不知道有没有更好的方式。

非常感谢

我不仅要金子，我还要点石成金的手指！

回复喜欢

iihacker

论坛版主

注册日期2010-01-07
最后登录2017-08-16
粉丝5
关注8
积分377分
威望1941点
贡献值0点
好评度0点
原创分0分
专家分0分

加关注写私信

7楼^#

发布于：2013-05-02 15:43

这个是，只能依赖系统重启，不能自己卸载

NDIS 1群74755180 NDIS 2群182802097 交换机软硬件技术群 187471475 FPGA PCI PCIE 群187471817

回复喜欢

trent

驱动老牛

注册日期2002-03-01
最后登录2014-09-18
粉丝0
关注0
积分61分
威望185点
贡献值0点
好评度2点
原创分0分
专家分0分

加关注写私信

8楼^#

发布于：2013-05-02 15:57

还得再深究一下，呵呵，我实在不能理解为什么attach可以而hook dispatch majorfunction不行。
在Win2008下我hook 了 tdx，查了tdx是tcp设备的驱动，用windbg查看设备如下：
kd> !drvobj tdx
Driver object (83a20478) is for:
\Driver\tdx
Driver Extension List: (id , addr)

Device Object list:
83a29440 83a262f0 83a21310 83a21440
83a1c440 83a1b3e8 83a20310
kd> !devobj 83a29440
Device object (83a29440) is for:
RawIp6 \Driver\tdx DriverObject 83a20478
Current Irp 00000000 RefCount 0 Type 00000012 Flags 00000050
Dacl 8637121c DevExt 83a294f8 DevObjExt 83a29500
ExtensionFlags (0x00000800)
   Unknown flags 0x00000800
Device queue is not busy.
kd> !devobj 83a262f0
Device object (83a262f0) is for:
RawIp \Driver\tdx DriverObject 83a20478
Current Irp 00000000 RefCount 1 Type 00000012 Flags 00000050
Dacl 8637121c DevExt 83a263a8 DevObjExt 83a263b0
ExtensionFlags (0x00000800)
   Unknown flags 0x00000800
Device queue is not busy.
kd> !devobj 83a21310
Device object (83a21310) is for:
Udp6 \Driver\tdx DriverObject 83a20478
Current Irp 00000000 RefCount 0 Type 00000012 Flags 00000050
Dacl 8637121c DevExt 83a213c8 DevObjExt 83a213d0
ExtensionFlags (0x00000800)
   Unknown flags 0x00000800
Device queue is not busy.
kd> !devobj 83a21440
Device object (83a21440) is for:
Udp \Driver\tdx DriverObject 83a20478
Current Irp 00000000 RefCount 3 Type 00000012 Flags 00000050
Dacl 8637121c DevExt 83a214f8 DevObjExt 83a21500
ExtensionFlags (0x00000800)
   Unknown flags 0x00000800
Device queue is not busy.
kd> !devobj 83a1b3e8
Device object (83a1b3e8) is for:
Tcp \Driver\tdx DriverObject 83a20478
Current Irp 00000000 RefCount 123 Type 00000012 Flags 00000050
Dacl 8637121c DevExt 83a1b4a0 DevObjExt 83a1b4a8
ExtensionFlags (0x00000800)
   Unknown flags 0x00000800

如标红所示，TCP设备驱动是tdx，hook了tdx的dispatch，按理能接管TCP设备收到的IRP，求解?

我不仅要金子，我还要点石成金的手指！

回复喜欢

您需要登录后才可以回帖，登录或者注册

TDI hook 是否支持Windows 2008

最新喜欢：