首页
社区
课程
招聘
[求助]win32k.sys的内存不能写。是什么问题引起的
发表于: 2011-1-17 00:43 5685

[求助]win32k.sys的内存不能写。是什么问题引起的

2011-1-17 00:43
5685
如题;

DEFAULT_BUCKET_ID:  DRIVER_FAULT

BUGCHECK_STR:  0xBE

PROCESS_NAME:  csrss.exe

TRAP_FRAME:  aeb8bb7c -- (.trap 0xffffffffaeb8bb7c)
ErrCode = 00000003
eax=000000e9 ebx=898d6690 ecx=0000000a edx=ffffffff esi=bf8c322e edi=b860f8a4
eip=b860e6ba esp=aeb8bbf0 ebp=aeb8bc10 iopl=0         nv up ei ng nz na po cy
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010283
hookdev+0x6ba:
b860e6ba 8806            mov     byte ptr [esi],al          ds:0023:bf8c322e=e9
Resetting default scope

LAST_CONTROL_TRANSFER:  from 8052136a to 804faf33

STACK_TEXT:  
aeb8bafc 8052136a 000000be bf8c322e 109a5061 nt!KeBugCheckEx+0x1b
aeb8bb64 80545578 00000001 bf8c322e 00000000 nt!MmAccessFault+0x9a8
aeb8bb64 b860e6ba 00000001 bf8c322e 00000000 nt!KiTrap0E+0xd0
WARNING: Stack unwind information not available. Following frames may be wrong.
aeb8bc10 b860eebb b860f8a4 bf8c322e 0000000a hookdev+0x6ba
aeb8bc64 805817f7 8944e170 898d6690 898da510 hookdev+0xebb
aeb8bd00 8057a274 0000022c 00000000 00000000 nt!IopXxxControlFile+0x5c5
aeb8bd34 8054261c 0000022c 00000000 00000000 nt!NtDeviceIoControlFile+0x2a
aeb8bd34 0047a56b 0000022c 00000000 00000000 nt!KiFastCallEntry+0xfc
0012cb18 00000000 00000000 00000000 00000000 0x47a56b

我已经attch到csrss.exe的进程里面去了。读就没什么问题。可一写就蓝了.

有什么办法。能让win32k.sys的内存不能写。

求大侠门给点见意

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 4817
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
你改页面属性了没?页面是有属性的,没有写的属性,写进去就会抛异常,csrss死了,系统肯定完了。
要是写内核内存,那就用MDL或CR0吧。
2011-1-17 09:04
0
雪    币: 25
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
cr0已经改了。问题是。开始写的时候没什么问题。过一会儿。np的驱动 建了一个线程就不能写了。不知道有什么方法不能让别人不能写的。
np 的线程都是虚拟代码。晕死
2011-1-17 12:07
0
雪    币: 4817
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
首先呢,内存是无法监控的,也就是肯定是能改的。
#define ATTEMPTED_WRITE_TO_READONLY_MEMORY ((ULONG)0x000000BEL)
你的驱动写只读内存啦。NP可不是很好对付的,你还是好好看看NP的机制吧,你这问题呀,没什么特别的。
你能改CR0,难道NP就不能改回来么?
2011-1-17 12:44
0
雪    币: 25
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
我都关了中断才改的。他还能断我
2011-1-17 16:06
0
雪    币: 221
活跃值: (733)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
win32k.sys只有在GUI线程中才加载,一般情况下是不加载的,所以要Hook KeServieDescriptorTableShadow的话,一般是用一个GUI程序通过IoControlCode来触发
2011-1-17 17:50
0
游客
登录 | 注册 方可回帖
返回
//