首页
社区
课程
招聘
[求助]Icesword 是怎样通过HOOK KebugCheckEx判断内存地址有效
发表于: 2010-12-6 10:05 10215

[求助]Icesword 是怎样通过HOOK KebugCheckEx判断内存地址有效

2010-12-6 10:05
10215
我HOOK 了KebugCheckEx,Fake_KebugCheckEx中发送消息通知。
然后我试验访问一个非法地址,之后系统不停调用KebugCheckEx,陷入死循环,然后就死锁住了,只有重启了。

究竟Icesword 是怎样通过HOOK KebugCheckEx判断内存地址有效的啊

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (9)
雪    币: 6082
活跃值: (794)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
2
过滤某些参数
中间有判断过程
你根据他的参数来模拟
2010-12-6 10:35
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
3
判断问题出现在你的代码地址范围
直接leave的话可以跳入那啥~
2010-12-7 04:03
0
雪    币: 240
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不明白啊
我试过在FAKE_KeBugCheck用ExRaiseStatus抛出异常,系统直接挂掉重启了
2010-12-7 17:06
0
雪    币: 34
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
啥?  这个其实不短了.
2010-12-7 19:50
0
雪    币: 364
活跃值: (152)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
6
就算解决不循环跳到KebugCheckEx的问题后还是会有几个问题的。
比如有的工作集锁在进入KebugCheckEx后也没被释放掉。详情见http://hi.baidu.com/weolar/blog/item/032f207fd7804a0329388ad0.html
2010-12-7 22:54
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
7
话说,内存扫描时pagefault的异常直接leave就行~

有些异常就蛋碎了
2010-12-8 14:05
0
雪    币: 34
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
8
有些时候,内存读取异常,即使加了try,但还是蓝屏啊,不解啊....
2010-12-13 18:19
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
9
_try并不是万能的防止蓝屏的方法  
2010-12-14 01:09
0
雪    币: 34
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
只是对pagefault也防不了啊.
2010-12-19 14:28
0
游客
登录 | 注册 方可回帖
返回
//