[求助]修改内核函数遇到问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]修改内核函数遇到问题

发表于: 2010-5-16 20:00 3627

[求助]修改内核函数遇到问题

icqking

2010-5-16 20:00

3627

正在学习 rootkit 运行时补丁。

for(i=0;i < 8;i++)
{
addr = 0x90;
}

像上面这样直接写，蓝屏只读提示。改成下面这样还是蓝屏。

KeRaiseIrql(DISPATCH_LEVEL, &OldIrql);
      _asm
      {
         __asm CLI
            __asm MOV EAX , CR0
            __asm AND EAX, NOT 10000H
            __asm MOV CR0, EAX
      }

      for(i=0;i < 8;i++)             {          addr = 0x90;       }
      _asm
      {
         __asm MOV EAX,CR0
            __asm OR EAX ,10000H
            __asm MOV CR0,EAX
            __asm STI
      }
      KeLowerIrql(OldIrql);

仍然蓝屏。

请高牛人指导一下
谢谢

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (3)
EvilKnight 雪币： 358 活跃值： (662) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 16 关注私信	EvilKnight 4 2 楼你自己分析一下dump文件，上面都有提示的！ 2010-5-16 20:17 0
ytfsse 雪币： 247 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	ytfsse 3 楼 BSOD提示啥？？还有那个addr到底指向的是啥来着 2010-5-17 08:22 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 4 楼 for 循环下的 addr 完全不会跟随 i变化你想弄出一个 nop的内存段放shellcode吗？ 2010-5-17 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

icqking

发帖

149

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
EvilKnight 雪币： 358 活跃值： (662) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 16 关注私信	EvilKnight 4 2 楼你自己分析一下dump文件，上面都有提示的！ 2010-5-16 20:17 0
ytfsse 雪币： 247 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 69 粉丝 0 关注私信	ytfsse 3 楼 BSOD提示啥？？还有那个addr到底指向的是啥来着 2010-5-17 08:22 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 4 楼 for 循环下的 addr 完全不会跟随 i变化你想弄出一个 nop的内存段放shellcode吗？ 2010-5-17 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复