[求助]内核apc插到32位进程无法执行-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
妮可雪币： 14 活跃值： (1013) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 86 粉丝 3 关注私信	妮可 2 楼知道是alertable=0的问题了.按照以前@库尔说的方法.同时插2条APC,先插用户模式,再插内核模式内核模式回调里KeTestAlertThread( UserMode),确实可以执行了,但是秒蓝,只能看到windbg输出,第二条Apc改成用户模式也是蓝屏,蓝屏信息是DRIVER IRQL NOT LESS OR EQUAL,实在不知道怎么解决了只能曲线救国,枚举线程的时候判断state和alertable,但是实在是不想用硬编码 2021-6-19 07:44 0
mb_aopnnvxb 雪币： 81 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	mb_aopnnvxb 3 楼 mark 我APC也是出这个蓝屏 2021-6-20 16:08 0
妮可雪币： 14 活跃值： (1013) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 86 粉丝 3 关注私信	妮可 4 楼 mb_aopnnvxb mark 我APC也是出这个蓝屏直接找有条件的线程插吧,然后插2条apc就可以立刻执行了 2021-6-20 23:16 0
Mr.hack 雪币： 3625 活跃值： (4559) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 142 粉丝 28 关注私信	Mr.hack 5 楼大概率是堆栈没处理好的问题，要知道kernelruntine，normalruntine这两个成员所指的函数都不是你自己调用的，而是KiDeliverApc调用的，参数个数，有没有返回值都不是你能控制的 2021-8-1 12:46 0
sqdwr 雪币： 20 活跃值： (256) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	sqdwr 6 楼 KerneRoutine都不执行可能是因为你插入的线程没有执行UserMode APC的条件，如果你把NormalRoutine设置为NULL就可以执行了是因为NormalRoutine是NULL的情况下，APC默认是特殊的KernelMode APC所以他一定有执行的机会。UserMode的需要触发条件。 2021-8-2 11:22 0
mb_punpkihu 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	mb_punpkihu 7 楼求交流能否加个好友恰个Q或者V也行 2021-9-30 15:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
妮可雪币： 14 活跃值： (1013) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 86 粉丝 3 关注私信	妮可 2 楼知道是alertable=0的问题了.按照以前@库尔说的方法.同时插2条APC,先插用户模式,再插内核模式内核模式回调里KeTestAlertThread( UserMode),确实可以执行了,但是秒蓝,只能看到windbg输出,第二条Apc改成用户模式也是蓝屏,蓝屏信息是DRIVER IRQL NOT LESS OR EQUAL,实在不知道怎么解决了只能曲线救国,枚举线程的时候判断state和alertable,但是实在是不想用硬编码 2021-6-19 07:44 0
mb_aopnnvxb 雪币： 81 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	mb_aopnnvxb 3 楼 mark 我APC也是出这个蓝屏 2021-6-20 16:08 0
妮可雪币： 14 活跃值： (1013) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 86 粉丝 3 关注私信	妮可 4 楼 mb_aopnnvxb mark 我APC也是出这个蓝屏直接找有条件的线程插吧,然后插2条apc就可以立刻执行了 2021-6-20 23:16 0
Mr.hack 雪币： 3625 活跃值： (4559) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 142 粉丝 28 关注私信	Mr.hack 5 楼大概率是堆栈没处理好的问题，要知道kernelruntine，normalruntine这两个成员所指的函数都不是你自己调用的，而是KiDeliverApc调用的，参数个数，有没有返回值都不是你能控制的 2021-8-1 12:46 0
sqdwr 雪币： 20 活跃值： (256) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	sqdwr 6 楼 KerneRoutine都不执行可能是因为你插入的线程没有执行UserMode APC的条件，如果你把NormalRoutine设置为NULL就可以执行了是因为NormalRoutine是NULL的情况下，APC默认是特殊的KernelMode APC所以他一定有执行的机会。UserMode的需要触发条件。 2021-8-2 11:22 0
mb_punpkihu 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	mb_punpkihu 7 楼求交流能否加个好友恰个Q或者V也行 2021-9-30 15:25 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复