-
-
[求助]虚拟机开启后又自动关闭 windbg 拦 NtShutdownSystem 后...
-
发表于: 2012-3-14 12:03
-
虚拟机开机就有东西调用 NtShutdownSystem 将其关闭 故想解决一下...
环境: 双机调试
bp nt!NtShutdownSystem:
8060a092 8bff mov edi,edi
//如果PATCH一下 ed 900004c2 // ret 4 可以继续开机使用
开机后.使用 xuetr 检查一下系统
-----------------------------
查启动项: 一切正常
查驱动模块: 好像没有明显的东西,故用调试来确认这一点
查内核HOOK: 一切正常
------------------------------
kd> dd esp
b2a72d5c 8053e638 00000002 01a6ffb4 7c92e4f4
b2a72d6c badb0d00 01a6ff78 00000000 00000000
b2a72d7c 00000000 00000000 00000000 00000000
b2a72d8c 00000000 00000000 00000000 00000023
b2a72d9c 00000023 00005658 00000004 00000006
b2a72dac 00000001 ffffffff 0000003b 7c920000
b2a72dbc 7c92ddd0 7c949a4d 01a6ffb4 00000000
b2a72dcc 7c92e4f4 0000001b 00000246 01a6ff70
用xuetr看一下所有驱动模块基址,好像没有发现esp里面有回到某段模块的地方 只看到了返回地址 8053e638
栈
# ChildEBP RetAddr Args to Child
00 b2a72d58 8053e638 00000002 01a6ffb4 7c92e4f4 nt!NtShutdownSystem (FPO: [1,0,0])
01 b2a72d58 7c92e4f4 00000002 01a6ffb4 7c92e4f4 nt!KiFastCallEntry+0xf8 (FPO: [0,0] TrapFrame @ b2a72d64)
02 01a6ff6c 7c92dddc 10003f37 00000002 016cd554 ntdll!KiFastSystemCallRet (FPO: [0,0,0])
03 01a6ffa4 806d3c35 00000000 7c92d9fc 01a6ffec ntdll!NtShutdownSystem+0xc (FPO: [1,0,0])
04 01a6ffa4 00000000 00000000 7c92d9fc 01a6ffec hal!HalpApcInterrupt+0xc5 (FPO: [0,2] TrapFrame @ 00000004)
现在如何分析是哪一个模块调用了 NtShutdownSystem 呢? 貌似WINDBG没有OD好用.求指点
谢谢
环境: 双机调试
bp nt!NtShutdownSystem:
8060a092 8bff mov edi,edi
//如果PATCH一下 ed 900004c2 // ret 4 可以继续开机使用
开机后.使用 xuetr 检查一下系统
-----------------------------
查启动项: 一切正常
查驱动模块: 好像没有明显的东西,故用调试来确认这一点
查内核HOOK: 一切正常
------------------------------
kd> dd esp
b2a72d5c 8053e638 00000002 01a6ffb4 7c92e4f4
b2a72d6c badb0d00 01a6ff78 00000000 00000000
b2a72d7c 00000000 00000000 00000000 00000000
b2a72d8c 00000000 00000000 00000000 00000023
b2a72d9c 00000023 00005658 00000004 00000006
b2a72dac 00000001 ffffffff 0000003b 7c920000
b2a72dbc 7c92ddd0 7c949a4d 01a6ffb4 00000000
b2a72dcc 7c92e4f4 0000001b 00000246 01a6ff70
用xuetr看一下所有驱动模块基址,好像没有发现esp里面有回到某段模块的地方 只看到了返回地址 8053e638
栈
# ChildEBP RetAddr Args to Child
00 b2a72d58 8053e638 00000002 01a6ffb4 7c92e4f4 nt!NtShutdownSystem (FPO: [1,0,0])
01 b2a72d58 7c92e4f4 00000002 01a6ffb4 7c92e4f4 nt!KiFastCallEntry+0xf8 (FPO: [0,0] TrapFrame @ b2a72d64)
02 01a6ff6c 7c92dddc 10003f37 00000002 016cd554 ntdll!KiFastSystemCallRet (FPO: [0,0,0])
03 01a6ffa4 806d3c35 00000000 7c92d9fc 01a6ffec ntdll!NtShutdownSystem+0xc (FPO: [1,0,0])
04 01a6ffa4 00000000 00000000 7c92d9fc 01a6ffec hal!HalpApcInterrupt+0xc5 (FPO: [0,2] TrapFrame @ 00000004)
现在如何分析是哪一个模块调用了 NtShutdownSystem 呢? 貌似WINDBG没有OD好用.求指点
谢谢
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
