[求助]NtQueryInformationProcess HOOK成功后运行一段时间死机-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
xmlpull 雪币： 99 活跃值： (148) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	xmlpull 2 楼过PG没 2016-1-19 11:54 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 3 楼不知道啊，没有管PG-- 2016-1-19 12:59 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 4 楼下面是调用新的方法的汇编，个人感觉就是对第5个参数的处理好像有点问题，各位大神的感觉呢？ kd> u 0x383fa0+0xfffff800`03c57000 nt!NtQueryInformationProcess: fffff800`03fdafa0 44894c2420 mov dword ptr [rsp+20h],r9d fffff800`03fdafa5 4c89442418 mov qword ptr [rsp+18h],r8 fffff800`03fdafaa 48894c2408 mov qword ptr [rsp+8],rcx fffff800`03fdafaf 53 push rbx fffff800`03fdafb0 56 push rsi fffff800`03fdafb1 57 push rdi fffff800`03fdafb2 4154 push r12 fffff800`03fdafb4 4155 push r13 kd> u MYDRIVER!NewNtQueryInformationProcess MYDRIVER!NewNtQueryInformationProcess [c:\users\administrator\desktop\build\hookntqueryinformationprocess.h @ 26]: fffff880`036fe7bc 48895c2408 mov qword ptr [rsp+8],rbx fffff880`036fe7c1 48896c2410 mov qword ptr [rsp+10h],rbp fffff880`036fe7c6 4889742418 mov qword ptr [rsp+18h],rsi fffff880`036fe7cb 57 push rdi fffff880`036fe7cc 4883ec30 sub rsp,30h fffff880`036fe7d0 8bf2 mov esi,edx fffff880`036fe7d2 ba02000000 mov edx,2 fffff880`036fe7d7 498bf8 mov rdi,r8 kd> u MYDRIVER!NewNtQueryInformationProcess+0x1e [c:\users\administrator\desktop\build\hookntqueryinformationprocess.h @ 27]: fffff880`036fe7da 488be9 mov rbp,rcx fffff880`036fe7dd 4c8d054c0f0000 lea r8,[MYDRIVER! ?? ::FNODOBFM::`string' (fffff880`036ff730)] fffff880`036fe7e4 8d4a4b lea ecx,[rdx+4Bh] fffff880`036fe7e7 418bd9 mov ebx,r9d fffff880`036fe7ea ff1510190000 call qword ptr [MYDRIVER!_imp_DbgPrintEx (fffff880`03700100)] fffff880`036fe7f0 4c8b5c2460 mov r11,qword ptr [rsp+60h] fffff880`036fe7f5 448bcb mov r9d,ebx fffff880`036fe7f8 4c8bc7 mov r8,rdi kd> u MYDRIVER!NewNtQueryInformationProcess+0x3f [c:\users\administrator\desktop\build\hookntqueryinformationprocess.h @ 28]: fffff880`036fe7fb 8bd6 mov edx,esi fffff880`036fe7fd 488bcd mov rcx,rbp fffff880`036fe800 4c895c2420 mov qword ptr [rsp+20h],r11 fffff880`036fe805 ff15a5780000 call qword ptr [MYDRIVER!OldNtQueryInformationProcess (fffff880`037060b0)] fffff880`036fe80b 488b5c2440 mov rbx,qword ptr [rsp+40h] fffff880`036fe810 488b6c2448 mov rbp,qword ptr [rsp+48h] fffff880`036fe815 488b742450 mov rsi,qword ptr [rsp+50h] fffff880`036fe81a 4883c430 add rsp,30h kd> dq fffff880`037060b0 fffff880`037060b0 fffff800`03fdafa0 fffffa80`1c55f7e0 fffff880`037060c0 00000000`00000000 00000000`00000000 fffff880`037060d0 00000000`00000000 00000000`00000000 fffff880`037060e0 00000000`00000000 00000000`00000000 fffff880`037060f0 00000000`00000000 00000000`00000000 fffff880`03706100 00000000`00000000 00000000`00000000 fffff880`03706110 00000000`00000000 00000000`00000000 fffff880`03706120 00000000`00000000 00000000`00000000 kd> u fffff800`03fdafa0 nt!NtQueryInformationProcess: fffff800`03fdafa0 44894c2420 mov dword ptr [rsp+20h],r9d fffff800`03fdafa5 4c89442418 mov qword ptr [rsp+18h],r8 fffff800`03fdafaa 48894c2408 mov qword ptr [rsp+8],rcx fffff800`03fdafaf 53 push rbx fffff800`03fdafb0 56 push rsi fffff800`03fdafb1 57 push rdi fffff800`03fdafb2 4154 push r12 fffff800`03fdafb4 4155 push r13 但是我的调用约定确实是fastcall 上传的附件： QQ截图20160119160249.png （2.94kb，4次下载） 2016-1-19 16:01 0
MaMy 雪币： 12 活跃值： (438) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 5 楼。。。都没管pg.能不GG吗？ 2016-1-19 16:05 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 6 楼但是我HOOK了 SSDT 的两个函数，在HOOK这个函数之前，只HOOK另外一个函数貌似还挺好的 2016-1-19 16:10 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 7 楼我去试试看 2016-1-19 16:11 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 8 楼最后还是没有过好PG，所以这个HOOK就暂时被放在这里了 2016-2-15 12:59 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 9 楼放32位下先试试 2016-2-19 10:09 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 10 楼恩，好的，有空在去试试看 2016-2-19 10:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
xmlpull 雪币： 99 活跃值： (148) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	xmlpull 2 楼过PG没 2016-1-19 11:54 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 3 楼不知道啊，没有管PG-- 2016-1-19 12:59 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 4 楼下面是调用新的方法的汇编，个人感觉就是对第5个参数的处理好像有点问题，各位大神的感觉呢？ kd> u 0x383fa0+0xfffff800`03c57000 nt!NtQueryInformationProcess: fffff800`03fdafa0 44894c2420 mov dword ptr [rsp+20h],r9d fffff800`03fdafa5 4c89442418 mov qword ptr [rsp+18h],r8 fffff800`03fdafaa 48894c2408 mov qword ptr [rsp+8],rcx fffff800`03fdafaf 53 push rbx fffff800`03fdafb0 56 push rsi fffff800`03fdafb1 57 push rdi fffff800`03fdafb2 4154 push r12 fffff800`03fdafb4 4155 push r13 kd> u MYDRIVER!NewNtQueryInformationProcess MYDRIVER!NewNtQueryInformationProcess [c:\users\administrator\desktop\build\hookntqueryinformationprocess.h @ 26]: fffff880`036fe7bc 48895c2408 mov qword ptr [rsp+8],rbx fffff880`036fe7c1 48896c2410 mov qword ptr [rsp+10h],rbp fffff880`036fe7c6 4889742418 mov qword ptr [rsp+18h],rsi fffff880`036fe7cb 57 push rdi fffff880`036fe7cc 4883ec30 sub rsp,30h fffff880`036fe7d0 8bf2 mov esi,edx fffff880`036fe7d2 ba02000000 mov edx,2 fffff880`036fe7d7 498bf8 mov rdi,r8 kd> u MYDRIVER!NewNtQueryInformationProcess+0x1e [c:\users\administrator\desktop\build\hookntqueryinformationprocess.h @ 27]: fffff880`036fe7da 488be9 mov rbp,rcx fffff880`036fe7dd 4c8d054c0f0000 lea r8,[MYDRIVER! ?? ::FNODOBFM::`string' (fffff880`036ff730)] fffff880`036fe7e4 8d4a4b lea ecx,[rdx+4Bh] fffff880`036fe7e7 418bd9 mov ebx,r9d fffff880`036fe7ea ff1510190000 call qword ptr [MYDRIVER!_imp_DbgPrintEx (fffff880`03700100)] fffff880`036fe7f0 4c8b5c2460 mov r11,qword ptr [rsp+60h] fffff880`036fe7f5 448bcb mov r9d,ebx fffff880`036fe7f8 4c8bc7 mov r8,rdi kd> u MYDRIVER!NewNtQueryInformationProcess+0x3f [c:\users\administrator\desktop\build\hookntqueryinformationprocess.h @ 28]: fffff880`036fe7fb 8bd6 mov edx,esi fffff880`036fe7fd 488bcd mov rcx,rbp fffff880`036fe800 4c895c2420 mov qword ptr [rsp+20h],r11 fffff880`036fe805 ff15a5780000 call qword ptr [MYDRIVER!OldNtQueryInformationProcess (fffff880`037060b0)] fffff880`036fe80b 488b5c2440 mov rbx,qword ptr [rsp+40h] fffff880`036fe810 488b6c2448 mov rbp,qword ptr [rsp+48h] fffff880`036fe815 488b742450 mov rsi,qword ptr [rsp+50h] fffff880`036fe81a 4883c430 add rsp,30h kd> dq fffff880`037060b0 fffff880`037060b0 fffff800`03fdafa0 fffffa80`1c55f7e0 fffff880`037060c0 00000000`00000000 00000000`00000000 fffff880`037060d0 00000000`00000000 00000000`00000000 fffff880`037060e0 00000000`00000000 00000000`00000000 fffff880`037060f0 00000000`00000000 00000000`00000000 fffff880`03706100 00000000`00000000 00000000`00000000 fffff880`03706110 00000000`00000000 00000000`00000000 fffff880`03706120 00000000`00000000 00000000`00000000 kd> u fffff800`03fdafa0 nt!NtQueryInformationProcess: fffff800`03fdafa0 44894c2420 mov dword ptr [rsp+20h],r9d fffff800`03fdafa5 4c89442418 mov qword ptr [rsp+18h],r8 fffff800`03fdafaa 48894c2408 mov qword ptr [rsp+8],rcx fffff800`03fdafaf 53 push rbx fffff800`03fdafb0 56 push rsi fffff800`03fdafb1 57 push rdi fffff800`03fdafb2 4154 push r12 fffff800`03fdafb4 4155 push r13 但是我的调用约定确实是fastcall 上传的附件： QQ截图20160119160249.png （2.94kb，4次下载） 2016-1-19 16:01 0
MaMy 雪币： 12 活跃值： (438) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 5 楼。。。都没管pg.能不GG吗？ 2016-1-19 16:05 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 6 楼但是我HOOK了 SSDT 的两个函数，在HOOK这个函数之前，只HOOK另外一个函数貌似还挺好的 2016-1-19 16:10 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 7 楼我去试试看 2016-1-19 16:11 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 8 楼最后还是没有过好PG，所以这个HOOK就暂时被放在这里了 2016-2-15 12:59 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 9 楼放32位下先试试 2016-2-19 10:09 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 10 楼恩，好的，有空在去试试看 2016-2-19 10:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复