[求助][求助]KeLowerIrql总是失败-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助][求助]KeLowerIrql总是失败

发表于: 2010-6-12 11:13 5497

[求助][求助]KeLowerIrql总是失败

游猎夕阳

2010-6-12 11:13

5497

RtlCopyMemory(OriginalHead2,(PVOID)0x8053e621,5);
*(ULONG *)(ReplaceHead2+1)=(ULONG)FakeKiFastCallEntry-(0x8053e621+5);
KIRQL Irql;
ULONG Cr0Value;
Irql=KeGetCurrentIrql();
if (Irql<=DISPATCH_LEVEL)
{

  _asm
  {
  push eax
  mov eax,cr0;
  mov Cr0Value,eax
  and eax,0fffeffffh
  mov cr0,eax
  pop eax
  }

  Irql=KeRaiseIrqlToDpcLevel();
  RtlCopyMemory((PVOID)0x8053e621,ReplaceHead2,5);
  KeLowerIrql(Irql);
  _asm
  {
    push eax
    mov eax,Cr0Value;
    mov cr0,eax;
    pop eax

  }
}

上面代码中调用KeLowerIrql(Irql);这句失败，报错访问异常。
这段代码在Hook，另一个Ob函数时候并没有问题，但是不知道为什么patch 这个函数时候KeLowerIrql
总是失败。难道跟patch哪个函数还有影响？
求前辈指点下，在此先谢谢了！~~~~~~~

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#系统底层

收藏・1

免费・0

支持

最新回复 (2)
游猎夕阳雪币： 59 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 72 粉丝 0 关注私信	游猎夕阳 1 2 楼刚测试了下，发现应该是RtlCopyMemory((PVOID)0x8053e621,ReplaceHead2,5); 这句导致的，把这句改成写别的函数头就没问题。是硬编码的问题吗？我硬编码了一下要patch的地方，这样做难道会导致什么问题？ 2010-6-12 16:29 0
游猎夕阳雪币： 59 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 72 粉丝 0 关注私信	游猎夕阳 1 3 楼额找到原因了，kelowerIrql从DpcLevel降低到passive，应该是触发了线程调度程序，而调度程序正好要调用kifastcallentry，而我的fakekifastcallentry里面出错了，所以挂了............ 2010-6-12 17:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

游猎夕阳

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
游猎夕阳雪币： 59 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 72 粉丝 0 关注私信	游猎夕阳 1 2 楼刚测试了下，发现应该是RtlCopyMemory((PVOID)0x8053e621,ReplaceHead2,5); 这句导致的，把这句改成写别的函数头就没问题。是硬编码的问题吗？我硬编码了一下要patch的地方，这样做难道会导致什么问题？ 2010-6-12 16:29 0
游猎夕阳雪币： 59 活跃值： (41) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 72 粉丝 0 关注私信	游猎夕阳 1 3 楼额找到原因了，kelowerIrql从DpcLevel降低到passive，应该是触发了线程调度程序，而调度程序正好要调用kifastcallentry，而我的fakekifastcallentry里面出错了，所以挂了............ 2010-6-12 17:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复