[求助]驱动如何调用内核未导出方法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
trojanth 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	trojanth 2 楼 __stdcall 2016-3-17 17:01 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 3 楼忘了说一句了，是x64下的环境 2016-3-17 17:01 0
trojanth 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	trojanth 4 楼调用方式没问题，估计就是地址错了吧看看g_KernelBaseAddress 这个类型 2016-3-17 17:10 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 5 楼地址通过DbgPrint看了是没问题的 2016-3-17 17:25 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 6 楼 WinDbg跟踪一下看看 2016-3-17 18:14 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 7 楼好的，我去看一下 2016-3-18 08:08 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 8 楼没碰到过你找到PsSuspendThread内核地址直接赋值给函数指针不要玩加法试试 2016-3-18 15:53 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 9 楼经过Windbg调试以后，可以肯定的是我的驱动调用了NtSuspendThread的方法，但是调用后没什么实际效果，通过PCHunter查看该线程还是处于运行状态，而且调用多次以后蓝屏 2016-3-18 16:55 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 10 楼出错的消息 IRQL_NOT_LESS_OR_EQUAL (a) An attempt was made to access a pageable (or completely invalid) address at an interrupt request level (IRQL) that is too high. This is usually caused by drivers using improper addresses. If a kernel debugger is available get the stack backtrace. Arguments: Arg1: fffff80003fb200c, memory referenced Arg2: 0000000000000002, IRQL Arg3: 0000000000000008, bitfield : bit 0 : value 0 = read operation, 1 = write operation bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status) Arg4: fffff80003fb200c, address which referenced memory 2016-3-18 17:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
trojanth 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	trojanth 2 楼 __stdcall 2016-3-17 17:01 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 3 楼忘了说一句了，是x64下的环境 2016-3-17 17:01 0
trojanth 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	trojanth 4 楼调用方式没问题，估计就是地址错了吧看看g_KernelBaseAddress 这个类型 2016-3-17 17:10 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 5 楼地址通过DbgPrint看了是没问题的 2016-3-17 17:25 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 6 楼 WinDbg跟踪一下看看 2016-3-17 18:14 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 7 楼好的，我去看一下 2016-3-18 08:08 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 8 楼没碰到过你找到PsSuspendThread内核地址直接赋值给函数指针不要玩加法试试 2016-3-18 15:53 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 9 楼经过Windbg调试以后，可以肯定的是我的驱动调用了NtSuspendThread的方法，但是调用后没什么实际效果，通过PCHunter查看该线程还是处于运行状态，而且调用多次以后蓝屏 2016-3-18 16:55 0
myqqi 雪币： 324 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 161 粉丝 4 关注私信	myqqi 1 10 楼出错的消息 IRQL_NOT_LESS_OR_EQUAL (a) An attempt was made to access a pageable (or completely invalid) address at an interrupt request level (IRQL) that is too high. This is usually caused by drivers using improper addresses. If a kernel debugger is available get the stack backtrace. Arguments: Arg1: fffff80003fb200c, memory referenced Arg2: 0000000000000002, IRQL Arg3: 0000000000000008, bitfield : bit 0 : value 0 = read operation, 1 = write operation bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status) Arg4: fffff80003fb200c, address which referenced memory 2016-3-18 17:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复