-
-
[求助]IDTHOOK 死活蓝屏
-
发表于: 2012-4-18 23:51
-
HOOK 是做的替换上下16位的IDT地址 不是做的INLINE 五字节那种
下面是替换的HOOK 函数
PEPROCESS IDTperocess;
_declspec(naked)
VOID Myint3Hook()
{
__asm
{
pushad // save all general purpose registers
pushfd // save the flags register
}
__asm
{
popfd // restore the flags
popad // restore the general registers
}
_asm jmp Real_int3addr;
}
这么搞一切正常 不蓝...........
但是例如下面要是随便做点什么 就蓝。。。。很头疼 求大牛指点下
_declspec(naked)
VOID Myint3Hook()
{
__asm
{
pushad
pushfd
}
IDTperocess =PsGetCurrentProcess();
KdPrint(("%s",(ULONG)IDTperocess+0x174));
__asm
{
popfd
popad
}
_asm jmp Real_int3addr;
}
HOOK里面不是已经保存的现场了吗 那为什么随便搞点什么都蓝呢
求大牛指点下
下面是替换的HOOK 函数
PEPROCESS IDTperocess;
_declspec(naked)
VOID Myint3Hook()
{
__asm
{
pushad // save all general purpose registers
pushfd // save the flags register
}
__asm
{
popfd // restore the flags
popad // restore the general registers
}
_asm jmp Real_int3addr;
}
这么搞一切正常 不蓝...........
但是例如下面要是随便做点什么 就蓝。。。。很头疼 求大牛指点下
_declspec(naked)
VOID Myint3Hook()
{
__asm
{
pushad
pushfd
}
IDTperocess =PsGetCurrentProcess();
KdPrint(("%s",(ULONG)IDTperocess+0x174));
__asm
{
popfd
popad
}
_asm jmp Real_int3addr;
}
HOOK里面不是已经保存的现场了吗 那为什么随便搞点什么都蓝呢
求大牛指点下
|
|
|---|---|
|
|
就算不打印什么信息 就一条 PsGetCurrentProcess(); 也会蓝。。。。
真的不懂了。。。。。。
|
|
|
|
|
|
V叔
是 es ds fs 偶错了 V叔威武
|
|
|
|
|
|
|
