-
-
swapcontext中 调用 KeSetSystemAffinityThread 会bsod 有什么其他方法能代替这个函数的呢
-
发表于: 2012-10-15 23:54
-
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
给个更邪恶的
 内存检测,皆是浮云
//*************************************************************************
void PreSwapContext(PETHREAD Thread)
{
PEPROCESS Process = PsGetCurrentProcess();
if(!IsXxxxProcess(Process))
return;
if(!g_EnablePatch)
return;
PatchXxxx(TRUE);
}
//*************************************************************************
void PostSwapContext(PETHREAD Thread)
{
PEPROCESS Process = PsGetCurrentProcess();
if(!IsXxxxProcess(Process))
return;
if(!g_EnablePatch)
return;
if(IsXxxxMainThread(Thread))
PatchXxxx(FALSE);
else
PatchXxxx(TRUE);
}
//*************************************************************************
__declspec(naked) NewSwapContext()
{
__asm
{
pushad
push esi
call PreSwapContext
popad
call OldSwapContext
pushad
push esi
call PostSwapContext
popad
ret
}
}
//*************************************************************************
|
|
|
|
|
|
64位系统也是一样滴,现代操作系统的设计原理都差不多的。
检测如果是一个线程,线程依赖线程调度,同样无视之。 Patchguard也是内存检测,由于用的是TimerDpc,不受线程调度影响,所以改成DPC分发时让检测线程,进程(或者说此时的虚拟内存为正确完整的),完全可以透明绕过任何检测。 难点是多CPU,多线程(或DPC)同时执行,如何保证相同进程的不同线程同时执行时的虚拟内存不一致才是最重要的,哎哟,扯远了,不说这个了 
|
|
|
|
|
|
好不容易从3到0,结果,世界已是-1
黑客帝国 
|
|
|
|
|
|
|
