[求助]蓝屏，好喝的钙~-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 2 楼还有参数表呢 2011-9-13 08:41 0
shuizhilan 雪币： 128 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	shuizhilan 3 楼对头，那么多参数你怎么搞？ 2011-9-13 09:12 0
cainiaocai 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	cainiaocai 4 楼 #include "ntddk.h" #define INITCODE code_seg("INIT") typedef struct _SERVICE_DESCRIPTOR_TABLE { PVOID ServiceTableBase; PULONG ServiceCounterTableBase; ULONG NumberOfService; ULONG ParamTableBase; }SERVICE_DESCRIPTOR_TABLE,PSERVICE_DESCRIPTOR_TABLE; extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable; ULONG Address,OldAddress; ULONG MySsdt[284]; void hook(); void unhook(); void OnUnload(PDRIVER_OBJECT DriverObject); #pragma INITCODE NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath) { DriverObject->DriverUnload=OnUnload; hook(); return STATUS_SUCCESS; } void OnUnload(PDRIVER_OBJECT DriverObject) { unhook(); } void hook() { MySsdt[0]=0x805a5630; MySsdt[1]=0x805f240e; MySsdt[2]=0x805f5c04; .............. MySsdt[281]=0x806196ae; MySsdt[282]=0x8061990a; MySsdt[283]=0x805cc942;//我从kernel detective上抄来的 Address=(ULONG)KeServiceDescriptorTable; OldAddress=(ULONG)Address; __asm { cli mov eax,cr0 and eax,not 10000h mov cr0,eax } (ULONG)Address=(ULONG)&MySsdt[0]; __asm { mov eax,cr0 or eax,10000h mov cr0,eax sti } } void unhook() { __asm { cli mov eax,cr0 and eax,not 10000h mov cr0,eax } (ULONG*)Address=OldAddress; __asm { mov eax,cr0 or eax,10000h mov cr0,eax sti } } 2011-9-13 16:20 0
cainiaocai 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	cainiaocai 5 楼大家帮帮我啊 2011-9-13 16:22 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 6 楼哦貌似参数表不受影响哈。不过楼主好牛B 抄了284遍有没有抄错哦对我现在怀疑你抄错了 2011-9-13 16:36 0
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 7 楼内存属性.exe 2011-9-13 16:38 0
cainiaocai 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	cainiaocai 8 楼不会吧，检查好几遍了帮我看看还有什么其他的原因，蓝屏蓝怕了 2011-9-13 16:45 0
cainiaocai 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	cainiaocai 9 楼想到一个循环的方法填充数组，结果成功了可能上面真的是抄错了 2011-9-13 21:07 0
cainiaocai 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	cainiaocai 10 楼但是新的问题出现了 SSDT HOOK又跑去我的表上HOOK 怎么办，听说要HOOK KiFastCallEntry才行，具体怎么操作 2011-9-13 21:12 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 11 楼这样做没意思啊，自己从文件中获取SSDT中函数原始地址吧，前一段时间发过相关源码~~~ 2011-9-13 21:13 0
cainiaocai 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	cainiaocai 12 楼怎样hook KiFastCallEntry让它指向我的表 2011-9-14 00:21 0
wwew 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wwew 13 楼怎么就没有看到相关的代码的啊 2011-9-14 00:53 0
bullymj 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	bullymj 14 楼前段时间一天蓝屏10多次的人路过... 2011-9-14 07:50 0
刘志军雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 149 粉丝 0 关注私信	刘志军 15 楼建议楼至使用虚拟机和影子系统研究，这样即使出错也不会有什么损失。 2011-9-16 09:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 2 楼还有参数表呢 2011-9-13 08:41 0
shuizhilan 雪币： 128 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	shuizhilan 3 楼对头，那么多参数你怎么搞？ 2011-9-13 09:12 0
cainiaocai 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	cainiaocai 4 楼 #include "ntddk.h" #define INITCODE code_seg("INIT") typedef struct _SERVICE_DESCRIPTOR_TABLE { PVOID ServiceTableBase; PULONG ServiceCounterTableBase; ULONG NumberOfService; ULONG ParamTableBase; }SERVICE_DESCRIPTOR_TABLE,PSERVICE_DESCRIPTOR_TABLE; extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable; ULONG Address,OldAddress; ULONG MySsdt[284]; void hook(); void unhook(); void OnUnload(PDRIVER_OBJECT DriverObject); #pragma INITCODE NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath) { DriverObject->DriverUnload=OnUnload; hook(); return STATUS_SUCCESS; } void OnUnload(PDRIVER_OBJECT DriverObject) { unhook(); } void hook() { MySsdt[0]=0x805a5630; MySsdt[1]=0x805f240e; MySsdt[2]=0x805f5c04; .............. MySsdt[281]=0x806196ae; MySsdt[282]=0x8061990a; MySsdt[283]=0x805cc942;//我从kernel detective上抄来的 Address=(ULONG)KeServiceDescriptorTable; OldAddress=(ULONG)Address; __asm { cli mov eax,cr0 and eax,not 10000h mov cr0,eax } (ULONG)Address=(ULONG)&MySsdt[0]; __asm { mov eax,cr0 or eax,10000h mov cr0,eax sti } } void unhook() { __asm { cli mov eax,cr0 and eax,not 10000h mov cr0,eax } (ULONG*)Address=OldAddress; __asm { mov eax,cr0 or eax,10000h mov cr0,eax sti } } 2011-9-13 16:20 0
cainiaocai 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	cainiaocai 5 楼大家帮帮我啊 2011-9-13 16:22 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 6 楼哦貌似参数表不受影响哈。不过楼主好牛B 抄了284遍有没有抄错哦对我现在怀疑你抄错了 2011-9-13 16:36 0
木羊雪币： 1556 活跃值： (310) 能力值： ( LV4，RANK：40 ) 在线值：发帖 11 回帖 278 粉丝 1 关注私信	木羊 7 楼内存属性.exe 2011-9-13 16:38 0
cainiaocai 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	cainiaocai 8 楼不会吧，检查好几遍了帮我看看还有什么其他的原因，蓝屏蓝怕了 2011-9-13 16:45 0
cainiaocai 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	cainiaocai 9 楼想到一个循环的方法填充数组，结果成功了可能上面真的是抄错了 2011-9-13 21:07 0
cainiaocai 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	cainiaocai 10 楼但是新的问题出现了 SSDT HOOK又跑去我的表上HOOK 怎么办，听说要HOOK KiFastCallEntry才行，具体怎么操作 2011-9-13 21:12 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 11 楼这样做没意思啊，自己从文件中获取SSDT中函数原始地址吧，前一段时间发过相关源码~~~ 2011-9-13 21:13 0
cainiaocai 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	cainiaocai 12 楼怎样hook KiFastCallEntry让它指向我的表 2011-9-14 00:21 0
wwew 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	wwew 13 楼怎么就没有看到相关的代码的啊 2011-9-14 00:53 0
bullymj 雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 25 粉丝 0 关注私信	bullymj 14 楼前段时间一天蓝屏10多次的人路过... 2011-9-14 07:50 0
刘志军雪币： 26 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 149 粉丝 0 关注私信	刘志军 15 楼建议楼至使用虚拟机和影子系统研究，这样即使出错也不会有什么损失。 2011-9-16 09:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]蓝屏，好喝的钙~ 0.00雪花