fengyunabc 不会触发断点的，楼主碰见触发断点的情况了？

Thead 应该不会触发断点，毕竟线程结束都是自杀的

はつゆき 想不到啥情况会触发断点，毕竟PspExitThread只有在当前线程中才会直接调用，否则全部都是通过APC

紫霞星光 if (!bSuccess) { ExFreePool(lpuniImageFileName); lpuniImageFileName = NULL; } 这句会蓝屏 可以改 ...

Private丶 楼主这个方式是可行的，我已经试验成功了。不过楼主这种思路对注入时机有要求，需要services.exe在调用注册rpc接口那几个api之前就已经注入了。 这两天在考虑怎么优化这种方式，看了下nt5的 ...

低调putchar pte->Write=1 // UP version，突破COW,理论上大小页都有用pte->LargePage:&a ...

丿一叶知秋 请问一下，MmNonPagedPoolStart不应该是在MiInitMachineDependent函数中动态计算出来的吗？

hhkqqs 毕竟是非分页内存，我一般拉高IRQL防止被切换，当然如果对方的代码也在DPC_LEVEL，照样防不住[em_10]

hhkqqs 搜poolheader虽然流程简单点，直接暴力搜效率还是比较慢的，我看了篇论文，说定位PhysicalMemoryBackupPool的Bitmap可以筛掉很多无效页面，但也要符号或特征码定位[em_ ...

hhkqqs windbg这个poolfind的指令在6.x版本下能正常用，到了10.0版本不知道为啥少了好多信息。我用特征码的方法找了一遍，基本能全找出来，首先找ULONG_PTR PoolHeader，使得*( ...

hhkqqs 我在windbg用!poolfind Driv 只搜到零星的几个，非常奇怪，我看了眼IoDriverObjectType上面登记的个数可是一百多个

Show you my code，I don't believe windbg in some situation..

VOID EnumDriverByDriverObjectMemory()
{
    PVOID                    lpStartAddr = NULL;
    SIZE_T                   ulSize = 0;
    UNICODE_STRING           uniFuncName = { 0 };
    ULONG_PTR                lpSearchAddr = 0;
    ULONG_PTR                lpEndAddr = 0;
    ULONG                    ulEntrySize = 0;
    ULONG                    ulRemainSize = 0;
    ULONG_PTR                pDriverObject = 0;
    NTSTATUS                 status = STATUS_SUCCESS;
    PLDR_DATA_TABLE_ENTRY    pLdr = NULL;

    if (!g_ObGetObjectType)
    {
        RtlInitUnicodeString(&uniFuncName, L"ObGetObjectType");
        g_ObGetObjectType = (pfnObGetObjectType)MmGetSystemRoutineAddress(&uniFuncName);
    }

    if (g_BuildNumber >= 7600)
    {
        lpStartAddr = g_DriverObject; // 用自己的DriverObject就好，没必要全盘搜NonpagedPool
        lpStartAddr = (PVOID)((ULONG_PTR)lpStartAddr & 0xFFFFFFFF00000000);
        ulSize = 0x300000000;
    }
    else
    {
        return;
    }

    lpSearchAddr = (ULONG_PTR)lpStartAddr;
    lpEndAddr = lpSearchAddr + ulSize - sizeof(DRIVER_OBJECT);

    KdPrint(("[%s] lpSearchAddr:%p lpEndAddr:%p\n", __FUNCTION__, lpSearchAddr, lpEndAddr));

    while (TRUE)
    {
        if (lpSearchAddr + PAGE_SIZE > lpEndAddr)
        {
            ulEntrySize = (ULONG)(lpEndAddr - lpSearchAddr);
        }
        else
        {
            ulEntrySize = PAGE_SIZE;
        }

        if (!IsAddressValidLength((PVOID)lpSearchAddr, ulEntrySize))
        {
            goto NextLoop;
        }

        pDriverObject = lpSearchAddr + 0x30;
        ulRemainSize = 0x30;

        while (ulRemainSize < ulEntrySize)
        {
            POBJECT_TYPE ObjectType = KeGetObjectType((PVOID)pDriverObject);
            if (ObjectType == *IoDriverObjectType)
            {
                if (IsRealDriverObject((PDRIVER_OBJECT)pDriverObject)) // 一堆校验
                {
                    pLdr = (PLDR_DATA_TABLE_ENTRY)(((PDRIVER_OBJECT)pDriverObject)->DriverSection);
                    KdPrint(("[%s] pDriverObject:%p FullName:%wZ, DllBase:%I64x, Size:%x\n", __FUNCTION__, pDriverObject, &pLdr->FullDllName, pLdr->DllBase, pLdr->SizeOfImage));
                }

                ulRemainSize += sizeof(DRIVER_OBJECT);
                pDriverObject += sizeof(DRIVER_OBJECT);
            }
            else
            {
                ulRemainSize += 8;
                pDriverObject += 8;
            }
        }

    NextLoop:
        lpSearchAddr += PAGE_SIZE;
        if (lpSearchAddr >= lpEndAddr)
        {
            break;
        }
    }
}

hhkqqs win10的nonpagedpool大小应该不是巨硬pdb所说的0x100000000000，实测在这个区域搜DriverObject只能搜出零星的几个，巨硬大概率在内存管理函数里面多做了一些手脚。另 ...

不对 一般情况下这种PTE都是可写的吧？实在不行就只能在低IRQ的时候请求了。。