突破windows xp sp2的内存保护

楼主^#

更多发布于：2004-03-14 07:29

我本人要做钩子，拦截ntdll中的api函数，于是就需要写ntdll代码段。实现方法大致是：
在ring3得到api函数地址，然后传递给自己写的driver，让driver改写成自己的实现函数的地址。
这个实现方法在windows xp 以前的版本都能成功，但是升级到windows xp sp2以后，一写，电脑就会重新启动。

还有一个奇怪的现象：只要在改写前激活一次softice，也会改写成功，就是说钩子也能做成。

不知道大侠们有何高见？

喜欢0

yww 驱动牛犊注册日期2001-05-07 最后登录2018-06-01 粉丝0 关注0 积分322分威望34点贡献值0点好评度33点原创分0分专家分0分加关注写私信	沙发^# 发布于：2004-03-14 07:35 我改写内存使用的是RtlCopyMemory
	回复(0) 喜欢(0)

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

板凳^#

发布于：2004-03-15 11:52

注意你的CR0的WP位。

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

mailporn

驱动牛犊

注册日期2002-03-12
最后登录2008-10-29
粉丝0
关注0
积分6分
威望20点
贡献值0点
好评度16点
原创分0分
专家分0分

加关注写私信

地板^#

发布于：2004-03-27 11:21

WinXP一开始就把一些核心的内存保护起来了,尝试修改就会自动重启

可以设置CR0,使保护失效

海人

回复喜欢

buptzs 驱动牛犊注册日期2002-12-04 最后登录2006-08-10 粉丝0 关注0 积分20分威望2点贡献值0点好评度2点原创分0分专家分0分加关注写私信	地下室^# 发布于：2004-06-17 10:40 gz
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

突破windows xp sp2的内存保护

最新喜欢：