[求助] MMapDriver方式加载驱动导致 __try __expect无效-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助] MMapDriver方式加载驱动导致 __try __expect无效

发表于: 2018-11-23 14:48 5285

[求助] MMapDriver方式加载驱动导致 try expect无效

老坛酸菜TM

2018-11-23 14:48

5285

MMapDriver方式加载驱动后，导致 __try __expect无效了，不抛出异常了直接蓝屏，是什么情况？本人刚接触内核不久，望高人指点

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・3

免费・1

支持

最新回复 (19)
万剑归宗雪币： 914 活跃值： (2768) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 2 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 14:54 1
亲嘴雪币：活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	亲嘴 3 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 15:04 1
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 4 楼万剑归宗山总不知道什么情况，我们也不知道什么情况这并不好笑! 首先我来问问题，确实是我不懂才来问我也不是什么山总，我根本不知道山总是个什么玩意! 2018-11-23 15:04 0
StriveXjun 雪币： 1044 活跃值： (1390) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 74 关注私信	StriveXjun 5 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 15:31 0
xiaofu 雪币： 1564 活跃值： (3567) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 273 关注私信	xiaofu 8 6 楼你需要日掉RtlpxLookupFunctionTable 2018-11-23 15:34 0
qdjytony 雪币： 677 活跃值： (1081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 3 关注私信	qdjytony 7 楼抄BLACKBONE你好歹看看commits吧.. 山总不知道什么情况，我们也不知道什么情况 2018-11-23 15:45 0
FANTASYING 雪币： 2235 活跃值： (1380) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 156 粉丝 7 关注私信	FANTASYING 8 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 16:00 0
yllen 雪币： 1258 活跃值： (1439) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 9 楼 MFC42.DLL找“喊话CALL” 2018-11-23 16:48 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 10 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 16:57 0
StriveXjun 雪币： 1044 活跃值： (1390) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 74 关注私信	StriveXjun 11 楼方法一：动态找 RtlInsertInvertedFunctionTable 调用，插入当前驱动模块基址和大小，WIN7 没问题，WIN10 PG蓝屏方法二：动态找 MiProcessLoaderEntry 调用，WIN7-WIN10 都不触发PG，缺点，你的驱动模块可以枚举出来。 2018-11-23 17:42 0
代码狗雪币： 177 活跃值： (305) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	代码狗 12 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 17:42 0
EvilTobe 雪币： 347 活跃值： (1151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 1 关注私信	EvilTobe 13 楼 6楼说的对，x86异常靠栈，x64靠表参考RtlInsertInvertedFunctionTable 2018-11-23 17:45 0
wowocock 雪币： 405 活跃值： (2855) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 23 关注私信	wowocock 1 14 楼不要用SAFESEH ,加载驱动和被加载驱动都用VS2008编译。2015的坑太多。 2018-11-23 18:29 0
wowocock 雪币： 405 活跃值： (2855) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 23 关注私信	wowocock 1 15 楼还有尽量别用这种方式否则在WIN10开启了内核隔离，你会死的很惨。 2018-11-23 18:31 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 16 楼 StriveXjun 方法一：动态找 RtlInsertInvertedFunctionTable 调用，插入当前驱动模块基址和大小，WIN7 没问题，WIN10 PG蓝屏方法二：动态找 MiProcessLoader ... 非常感谢，唉 2018-11-23 19:13 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 17 楼 EvilTobe 6楼说的对，x86异常靠栈，x64靠表参考RtlInsertInvertedFunctionTable 谢 2018-11-23 19:13 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 18 楼 StriveXjun 方法一：动态找 RtlInsertInvertedFunctionTable 调用，插入当前驱动模块基址和大小，WIN7 没问题，WIN10 PG蓝屏方法二：动态找 MiProcessLoader ... RtlInsertInvertedFunctionTableWin7 pfnRtlInsertInvertedFunctionTable = NULL; do { if (!MmIsAddressValid((PVOID)pAddress)) break; pAddress = (PUCHAR)GetUndocumentFunctionAddressEx(NULL, pAddress, code, 5, 0x200, 0x90, 4, FALSE); if (!MmIsAddressValid(pAddress)) break; PsTable = GetLeaPoint(pAddress); if (!MmIsAddressValid(PsTable)) break; pfnRtlInsertInvertedFunctionTable = (RtlInsertInvertedFunctionTableWin7)GetCallAddress(pAddress + 7); if (!MmIsAddressValid((PVOID)pfnRtlInsertInvertedFunctionTable)) break; status = pfnRtlInsertInvertedFunctionTable(PsTable, pDriverInfo->ImageBase, pDriverInfo->ImageSize); } while (FALSE); 似乎没有作用 2018-11-23 20:58 0
StriveXjun 雪币： 1044 活跃值： (1390) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 74 关注私信	StriveXjun 19 楼老坛酸菜TM RtlInsertInvertedFunctionTableWin7 pfnRtlInsertInvertedFunctionTable = NULL; do { if (!MmIs ... 参考：625K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6N6s2u0A6N6X3g2^5K9Y4g2F1i4K6u0r3e0h3g2E0L8%4u0&6e0h3!0V1N6h3I4W2f1q4m8Q4x3V1k6T1L8r3!0T1i4K6u0r3L8h3q4K6N6r3g2J5i4K6u0r3e0h3g2E0L8%4u0&6e0h3!0V1N6h3I4W2f1q4m8Q4x3X3g2U0i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4c8e0W2Q4b7e0W2Q4b7U0q4Q4c8e0g2Q4z5p5q4Q4b7e0S2Q4c8e0g2Q4b7U0q4Q4z5o6u0Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0k6Q4b7e0m8Q4b7U0N6Q4c8e0N6Q4z5f1q4Q4z5o6b7`. 2018-11-23 21:28 0
layerfsd 雪币： 8197 活跃值： (3312) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 8 关注私信	layerfsd 4 20 楼月入数十万的山总老是问这种问题，你的绝地驱动又不行了？ 2018-11-23 22:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

老坛酸菜TM

发帖

133

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
万剑归宗雪币： 914 活跃值： (2768) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 2 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 14:54 1
亲嘴雪币：活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	亲嘴 3 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 15:04 1
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 4 楼万剑归宗山总不知道什么情况，我们也不知道什么情况这并不好笑! 首先我来问问题，确实是我不懂才来问我也不是什么山总，我根本不知道山总是个什么玩意! 2018-11-23 15:04 0
StriveXjun 雪币： 1044 活跃值： (1390) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 74 关注私信	StriveXjun 5 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 15:31 0
xiaofu 雪币： 1564 活跃值： (3567) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 273 关注私信	xiaofu 8 6 楼你需要日掉RtlpxLookupFunctionTable 2018-11-23 15:34 0
qdjytony 雪币： 677 活跃值： (1081) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 86 粉丝 3 关注私信	qdjytony 7 楼抄BLACKBONE你好歹看看commits吧.. 山总不知道什么情况，我们也不知道什么情况 2018-11-23 15:45 0
FANTASYING 雪币： 2235 活跃值： (1380) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 156 粉丝 7 关注私信	FANTASYING 8 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 16:00 0
yllen 雪币： 1258 活跃值： (1439) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 9 楼 MFC42.DLL找“喊话CALL” 2018-11-23 16:48 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 10 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 16:57 0
StriveXjun 雪币： 1044 活跃值： (1390) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 74 关注私信	StriveXjun 11 楼方法一：动态找 RtlInsertInvertedFunctionTable 调用，插入当前驱动模块基址和大小，WIN7 没问题，WIN10 PG蓝屏方法二：动态找 MiProcessLoaderEntry 调用，WIN7-WIN10 都不触发PG，缺点，你的驱动模块可以枚举出来。 2018-11-23 17:42 0
代码狗雪币： 177 活跃值： (305) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	代码狗 12 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 17:42 0
EvilTobe 雪币： 347 活跃值： (1151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 1 关注私信	EvilTobe 13 楼 6楼说的对，x86异常靠栈，x64靠表参考RtlInsertInvertedFunctionTable 2018-11-23 17:45 0
wowocock 雪币： 405 活跃值： (2855) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 23 关注私信	wowocock 1 14 楼不要用SAFESEH ,加载驱动和被加载驱动都用VS2008编译。2015的坑太多。 2018-11-23 18:29 0
wowocock 雪币： 405 活跃值： (2855) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 23 关注私信	wowocock 1 15 楼还有尽量别用这种方式否则在WIN10开启了内核隔离，你会死的很惨。 2018-11-23 18:31 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 16 楼 StriveXjun 方法一：动态找 RtlInsertInvertedFunctionTable 调用，插入当前驱动模块基址和大小，WIN7 没问题，WIN10 PG蓝屏方法二：动态找 MiProcessLoader ... 非常感谢，唉 2018-11-23 19:13 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 17 楼 EvilTobe 6楼说的对，x86异常靠栈，x64靠表参考RtlInsertInvertedFunctionTable 谢 2018-11-23 19:13 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 18 楼 StriveXjun 方法一：动态找 RtlInsertInvertedFunctionTable 调用，插入当前驱动模块基址和大小，WIN7 没问题，WIN10 PG蓝屏方法二：动态找 MiProcessLoader ... RtlInsertInvertedFunctionTableWin7 pfnRtlInsertInvertedFunctionTable = NULL; do { if (!MmIsAddressValid((PVOID)pAddress)) break; pAddress = (PUCHAR)GetUndocumentFunctionAddressEx(NULL, pAddress, code, 5, 0x200, 0x90, 4, FALSE); if (!MmIsAddressValid(pAddress)) break; PsTable = GetLeaPoint(pAddress); if (!MmIsAddressValid(PsTable)) break; pfnRtlInsertInvertedFunctionTable = (RtlInsertInvertedFunctionTableWin7)GetCallAddress(pAddress + 7); if (!MmIsAddressValid((PVOID)pfnRtlInsertInvertedFunctionTable)) break; status = pfnRtlInsertInvertedFunctionTable(PsTable, pDriverInfo->ImageBase, pDriverInfo->ImageSize); } while (FALSE); 似乎没有作用 2018-11-23 20:58 0
StriveXjun 雪币： 1044 活跃值： (1390) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 74 关注私信	StriveXjun 19 楼老坛酸菜TM RtlInsertInvertedFunctionTableWin7 pfnRtlInsertInvertedFunctionTable = NULL; do { if (!MmIs ... 参考：625K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6N6s2u0A6N6X3g2^5K9Y4g2F1i4K6u0r3e0h3g2E0L8%4u0&6e0h3!0V1N6h3I4W2f1q4m8Q4x3V1k6T1L8r3!0T1i4K6u0r3L8h3q4K6N6r3g2J5i4K6u0r3e0h3g2E0L8%4u0&6e0h3!0V1N6h3I4W2f1q4m8Q4x3X3g2U0i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4x3U0k6F1j5Y4y4H3i4K6y4n7i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4c8e0W2Q4b7e0W2Q4b7U0q4Q4c8e0g2Q4z5p5q4Q4b7e0S2Q4c8e0g2Q4b7U0q4Q4z5o6u0Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0k6Q4b7e0m8Q4b7U0N6Q4c8e0N6Q4z5f1q4Q4z5o6b7`. 2018-11-23 21:28 0
layerfsd 雪币： 8197 活跃值： (3312) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 8 关注私信	layerfsd 4 20 楼月入数十万的山总老是问这种问题，你的绝地驱动又不行了？ 2018-11-23 22:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复