[求助]HOOK IDT 0E蓝屏-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (30) ◀ 1 2
lytywg 雪币： 682 活跃值： (1515) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 70 粉丝 1 关注私信	lytywg 26 楼 yy虫子yy inline hook不蓝屏，idt hook却蓝屏是不是pg的问题可以用排除法测试调试模式下，看看idt hook是否蓝屏如果调试模式下也蓝屏，就不是pg的问题了要是没有蓝屏，那就是 ... 改了- -，代理函数里面改成只有 JMP OldTrap0E，还是蓝屏了，这样总不会是栈溢出了吧汇编看了一下，是 jmp qword ptr [xxx]。不管怎么样多谢了，我再调试模式测试一下最后于 2020-5-2 20:43 被lytywg编辑，原因： 2020-5-2 20:36 0
Rookietp 雪币： 1047 活跃值： (655) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 800 粉丝 2 关注私信	Rookietp 27 楼 HookRoutine1 PROC PUSH RAX PUSH RCX PUSH RDX PUSH RBX PUSH RSP PUSH RBP PUSH RSI PUSH RDI PUSHF PUSH R8 PUSH R9 PUSH R10 PUSH R11 PUSH R12 PUSH R13 PUSH R14 PUSH R15 PUSH FS MOV RBX, 30h MOV FS, RBX XOR ECX, ECX CALL QWORD PTR __imp_KeLowerIrql CALL HookFunction MOV RBX, FunctionAddress XOR RAX, RAX CALL KeGetCurrentProcessorNumber MOV RCX, QWORD PTR[RBX + RAX * 8] MOV OriginalFunction,RCX POP FS POP R15 POP R14 POP R13 POP R12 POP R11 POP R10 POP R9 POP R8 POPF POP RDI POP RSI POP RBP POP RSP POP RBX POP RDX POP RCX POP RAX ;JMP OriginalFunction ; JMP ?oldFunction@@3_KA HookRoutine1 ENDP github bd0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6p5e0@1N6e0d9p5W2f1c8q4)9J5c8V1W2p5g2p5S2G2L8$3E0Q4y4h3k6j5y4U0b7`. 2020-5-2 22:53 0
lytywg 雪币： 682 活跃值： (1515) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 70 粉丝 1 关注私信	lytywg 28 楼 Rookietp HookRoutine1 PROC PUSH RAX PUSH RCX PUSH RDX PUSH R ... 这代码据原作者说会蓝屏 2020-5-3 00:46 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 29 楼 lytywg yy虫子yy inline hook不蓝屏，idt hook却蓝屏是不是pg的问题可以用排除法测试调试模式下，看看idt hook是否蓝屏如果调试模式 ... 尽管你的代码没有push压栈了但只要触发idt中断，系统就会自动压栈返回地址，错误码等参数，栈顶也会抬高 2020-5-4 12:02 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 30 楼 lytywg 第一次知道看雪的附件会过期，重新上传了还是附件不存在，还是发下git链接吧b18K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6x3e0p5I4K9k6h3c8Q4x3V1k6u0c8q4c8t1e0@1!0w2d9r3!0G2K9#2c8J5j5i4l9H3c8g2)9J5y4X3q4E0M7q4)9K6b7X3&6T1M7%4m8Q4x3@1u0b7f1V1!0o6 &a ... shark的锅，鉴定完毕 2020-5-4 14:13 0
lytywg 雪币： 682 活跃值： (1515) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 70 粉丝 1 关注私信	lytywg 31 楼 hzqst shark的锅，鉴定完毕好吧，多谢大表哥，其实换成inline hook就解决了，只不过我个人喜欢刨根问底，麻烦大家了 2020-5-4 21:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (30) ◀ 1 2
lytywg 雪币： 682 活跃值： (1515) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 70 粉丝 1 关注私信	lytywg 26 楼 yy虫子yy inline hook不蓝屏，idt hook却蓝屏是不是pg的问题可以用排除法测试调试模式下，看看idt hook是否蓝屏如果调试模式下也蓝屏，就不是pg的问题了要是没有蓝屏，那就是 ... 改了- -，代理函数里面改成只有 JMP OldTrap0E，还是蓝屏了，这样总不会是栈溢出了吧汇编看了一下，是 jmp qword ptr [xxx]。不管怎么样多谢了，我再调试模式测试一下最后于 2020-5-2 20:43 被lytywg编辑，原因： 2020-5-2 20:36 0
Rookietp 雪币： 1047 活跃值： (655) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 800 粉丝 2 关注私信	Rookietp 27 楼 HookRoutine1 PROC PUSH RAX PUSH RCX PUSH RDX PUSH RBX PUSH RSP PUSH RBP PUSH RSI PUSH RDI PUSHF PUSH R8 PUSH R9 PUSH R10 PUSH R11 PUSH R12 PUSH R13 PUSH R14 PUSH R15 PUSH FS MOV RBX, 30h MOV FS, RBX XOR ECX, ECX CALL QWORD PTR __imp_KeLowerIrql CALL HookFunction MOV RBX, FunctionAddress XOR RAX, RAX CALL KeGetCurrentProcessorNumber MOV RCX, QWORD PTR[RBX + RAX * 8] MOV OriginalFunction,RCX POP FS POP R15 POP R14 POP R13 POP R12 POP R11 POP R10 POP R9 POP R8 POPF POP RDI POP RSI POP RBP POP RSP POP RBX POP RDX POP RCX POP RAX ;JMP OriginalFunction ; JMP ?oldFunction@@3_KA HookRoutine1 ENDP github bd0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6p5e0@1N6e0d9p5W2f1c8q4)9J5c8V1W2p5g2p5S2G2L8$3E0Q4y4h3k6j5y4U0b7`. 2020-5-2 22:53 0
lytywg 雪币： 682 活跃值： (1515) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 70 粉丝 1 关注私信	lytywg 28 楼 Rookietp HookRoutine1 PROC PUSH RAX PUSH RCX PUSH RDX PUSH R ... 这代码据原作者说会蓝屏 2020-5-3 00:46 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 29 楼 lytywg yy虫子yy inline hook不蓝屏，idt hook却蓝屏是不是pg的问题可以用排除法测试调试模式下，看看idt hook是否蓝屏如果调试模式 ... 尽管你的代码没有push压栈了但只要触发idt中断，系统就会自动压栈返回地址，错误码等参数，栈顶也会抬高 2020-5-4 12:02 0
hzqst 雪币： 12876 活跃值： (9342) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 606 关注私信	hzqst 3 30 楼 lytywg 第一次知道看雪的附件会过期，重新上传了还是附件不存在，还是发下git链接吧b18K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6x3e0p5I4K9k6h3c8Q4x3V1k6u0c8q4c8t1e0@1!0w2d9r3!0G2K9#2c8J5j5i4l9H3c8g2)9J5y4X3q4E0M7q4)9K6b7X3&6T1M7%4m8Q4x3@1u0b7f1V1!0o6 &a ... shark的锅，鉴定完毕 2020-5-4 14:13 0
lytywg 雪币： 682 活跃值： (1515) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 70 粉丝 1 关注私信	lytywg 31 楼 hzqst shark的锅，鉴定完毕好吧，多谢大表哥，其实换成inline hook就解决了，只不过我个人喜欢刨根问底，麻烦大家了 2020-5-4 21:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复