Quantcast
Channel: 看雪安全论坛
Viewing all articles
Browse latest Browse all 9556

【求助】Inline Hook KiDispatchException遭遇奇怪的蓝屏

May 25, 2013, 8:57 pm
$
0
0
代码:
BOOL DebugPortHook(PVOID pKernelBase, PVOID pRelocKernel, DWORD dwRelocKernelSize, HANDLE hHookProcessPID)
{
        DWORD        i;
       
        test();
        if (IsDebugPortHook)                                                                                                                               
        {
                ghPID_ProcesstoHook = hHookProcessPID;       
                KdPrint(("ghPID_ProcesstoHook = %d\n", ghPID_ProcesstoHook));
                return        TRUE;
        }

        if (pRelocKernel != NULL && pKernelBase != NULL)
        {
                gpRelocKernel = pRelocKernel;
                gdwOffset_RelocKernel = (DWORD)pRelocKernel - (DWORD)pKernelBase;
                gdwRelocKernelSize = dwRelocKernelSize;
                KdPrint(("gdwOffset_RelocKernel = %x\n", gdwOffset_RelocKernel));
        }
        else
        {
                KdPrint(("pKernelBase或pRelocKernel为NULL,调用DebugPortHook失败\n"));
                return        FALSE;
        }
       
        for(i=0; i<INLINEHOOKPROCNUM; i++)
        {
                if(VK_InlineHook(&InlineHookProceTable[i]) == FALSE)
                {
                        KdPrint(("InlineHook%s失败\n", InlineHookProceTable[i].Name));
                        return        FALSE;
                }
        }
               
        ghPID_ProcesstoHook = hHookProcessPID;       
        KdPrint(("ghPID_ProcesstoHook = %d\n", ghPID_ProcesstoHook));
        IsDebugPortHook = TRUE;
        return TRUE;
}
代码如上,前面的代码主要是一些初始化,然后调用VK_InlineHook(&InlineHookProceTable[i])进行InlineHook,InlineHookProceTable是一个结构数组,保存要HOOK的函数的地址,跳转地址,名称等一些信息,代码如下
代码:
BOOL VK_InlineHook(PSTRUCT_INLINEHOOKPROC pSTRUCT_INLINEHOOKPROC)
{
        ULONG                        CallCode;
        DWORD                HookAddr;
        PVOID                        FindRelocKernelAddr;
        DWORD                i;
       
        if ( pSTRUCT_INLINEHOOKPROC->NewAddr == 0 && pSTRUCT_INLINEHOOKPROC->Signature[0] == 0)
        {
                KdPrint(("pSTRUCT_INLINEHOOKPROC->NewAddr or 特征码为NULL\n"));
                return        FALSE;
        }

        FindRelocKernelAddr = VK_FindData(gpRelocKernel, gdwRelocKernelSize, pSTRUCT_INLINEHOOKPROC->Signature, 12);
        if (FindRelocKernelAddr != NULL)
        {
                pSTRUCT_INLINEHOOKPROC->OldAddr = (DWORD)FindRelocKernelAddr - gdwOffset_RelocKernel - pSTRUCT_INLINEHOOKPROC->SignatureAddr + pSTRUCT_INLINEHOOKPROC->OldAddr;
                KdPrint(("%s函数地址 =%x\n", pSTRUCT_INLINEHOOKPROC->Name, pSTRUCT_INLINEHOOKPROC->OldAddr));
        }
        else
        {
                pSTRUCT_INLINEHOOKPROC->OldAddr = 0;
                KdPrint(("查找%s函数地址失败\n", pSTRUCT_INLINEHOOKPROC->Name));
                return        FALSE;
        }

        RtlCopyMemory(pSTRUCT_INLINEHOOKPROC->CodeToHook, (PVOID)(pSTRUCT_INLINEHOOKPROC->OldAddr + pSTRUCT_INLINEHOOKPROC->HookOffset), pSTRUCT_INLINEHOOKPROC->HookLength);
        CallCode =  pSTRUCT_INLINEHOOKPROC->NewAddr - pSTRUCT_INLINEHOOKPROC->OldAddr -5;                                                        //得到要写入的跳转地址码
        HookAddr = pSTRUCT_INLINEHOOKPROC->OldAddr;

       
        _asm
        {
                        cli               
                        mov        eax, cr0
                        and        eax, 0FFFEFFFFh
                        mov  cr0, eax

                        mov        eax, CallCode
                        mov        ebx, HookAddr
                        mov        byte ptr ds:[ebx], 0E8h
                        mov        [ebx + 1], eax

                        mov  eax, cr0
                        or                eax, 10000h
                        mov        cr0, eax
                        sti
        }
        return        TRUE;
}
主要代码为
代码:
mov        eax, CallCode                                                //Call的地址指令码
mov        ebx, HookAddr                                        //Inline Hook的地址
mov        byte ptr ds:[ebx], 0E8h                //写入Call的指令
mov        [ebx + 1], eax                                        //写入Call的地址指令码
当Inline Hook DbgkpSetProcessDebugObject,DbgkpMarkProcessPeb时都没问题,但当Hook DbgkpQueueMessage时蓝屏,用windbg跟踪,发现是mov byte ptr ds:[ebx], 0E8h这句蓝屏,跟踪时发现地址是对的,代码也没问题,蓝屏时说DRIVER_IRQL_NOT_LESS_OR_EQUAL,我加自旋锁、提升IRQL等都没用,但我把DebugPortHook中的test();去掉时就不蓝屏了,加上就立即蓝屏test()代码如下:
代码:
VOID test()
{
        KdPrint(("test函数执行成功\n"));
}
试过把test()改为一个什么都不做的空函数也还是蓝屏,还试过把test()放到其他地方也蓝屏,但不调用 test()就不蓝,很是奇怪,测试了一天了,求指点
Search
Viewing all articles
Browse latest Browse all 9556

Trending Articles

[奇怪机翻组] 过分色气的深见君 / Yatara Yarashii Fukami-kun - 01 [WebRip] [1080P...

April 16, 2025, 10:37 pm

[ReinForce] 吸血鬼同盟 Dance In The Vampire Bund (BDRip 1920x1080 x264 FLAC)

November 15, 2013, 7:57 am

有人買民雄嘉大博識嗎?(或美銓建設以前的建案)

July 25, 2021, 9:58 am

JVID女郎 搞暗黑《延禧》

September 10, 2018, 9:59 am

MAME 0.277 免安裝中文版 - 街機遊戲模擬器

May 8, 2025, 8:10 am

Photoshop.CS6 (免安裝隨身版 隨插即用 ) (直接下載)

August 19, 2018, 8:33 am

行星绕恒星边飞边解体 令科学家惊心动魄

April 22, 2025, 5:11 pm

【日语无字】春之钟.Haru.no.kane.1985.JAP.vhsrip.NoSub.by.xiongzaixia&vivi

May 5, 2017, 9:42 pm

竹北高鐵第一豪宅若山怎麼了?竹北高鐵第一豪宅若山怎麼了?

March 29, 2021, 12:29 am

df-dferh-01 中国区 Android 安装 Google Play Store 后报错 的 解决办法

April 24, 2019, 6:56 am

出售: sound mechanics 音響架

November 12, 2019, 6:54 am

关门一家亲:习远平 、张澜澜、徐才厚

December 23, 2020, 10:17 pm

[转载]梦瑜伽 三梦大法 梦瑜伽的修行方法

March 11, 2015, 10:01 am

詐騙猖獗 網路名師也中鏢 江兆君(小M老師):學員勿上當!

October 1, 2021, 6:14 am

Windbg 指令與分析之教學筆記

December 3, 2019, 1:25 am

Office 安装管理器,一键下载/安装//打包ISO!支持2016-2024/365全版本!微软官方下载安全可靠!

May 6, 2025, 6:50 am

回顧廿六年前北角地盤籠

March 21, 2019, 9:19 am

【追新番字幕組】★[簡日雙語][ 勇者義彥和被引導的七人 12 最終回 / ゆうしゃヨシヒコとみちびかれしななにん Yusha Yoshihiko to...

December 24, 2016, 6:28 am

C88圣战首日吸引18万人参战!会场工作人员名言汇总

August 14, 2015, 1:25 am

SFC超級任天堂釣魚太郎1.2.3 (海釣太郎) 遊戲+金手指+模擬器!

August 28, 2014, 10:51 pm
Search
<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>