首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
swapcontext中 调用 KeSetSystemAffinityThread 会bsod 有什么其他方法能代替这个函数的呢
发表于: 2012-10-15 23:54 8006

swapcontext中 调用 KeSetSystemAffinityThread 会bsod 有什么其他方法能代替这个函数的呢

diybl 活跃值
2012-10-15 23:54
8006
如题

我hook了 swapcontext

调用 KeSetSystemAffinityThread  会 bsod
有什么其他方法能代替这个函数的呢

在里面想关联运行当前指令的cpu 但是当前的中断级别大于 dcplevel
请问 有什么办法能代替呢?

我如果加一个dcp的例程来解决这个方法
能否保证是同步的呢?

[招生]科锐逆向工程师培训(2025年3月11日实地,远程教学同时开班, 第52期)!

收藏
免费
支持
分享
最新回复 (12)
diybl
雪    币: 199
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
顶一下 希望能有人帮忙
2012-10-19 21:58
0
qiluword
雪    币: 225
活跃值: (419)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
你hook swapcontext的目的是什么?是检查隐藏进程?如果是的话,好多方法比hook swapcontext好
2012-10-22 15:20
0
diybl
雪    币: 199
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
不是 呵呵 问题解决了 是newethread 和 oldethread 颠倒了的原因。。
2012-11-11 11:55
0
diybl
雪    币: 199
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
不颠倒了 就不需要调用这个了 呵呵KeSetSystemAffinityThread
2012-11-11 11:56
0
cvcvxk
雪    币: 8833
活跃值: (2419)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
6
固定线程CPU...太邪恶了~
2012-11-11 15:15
0
Prochg
雪    币: 14
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
给个更邪恶的 内存检测,皆是浮云
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
//*************************************************************************
void PreSwapContext(PETHREAD Thread)
{
    PEPROCESS Process = PsGetCurrentProcess();
 
    if(!IsXxxxProcess(Process))
        return;
 
    if(!g_EnablePatch)
        return;
 
    PatchXxxx(TRUE);
 
}
//*************************************************************************
void PostSwapContext(PETHREAD Thread)
{
    PEPROCESS Process = PsGetCurrentProcess();
 
    if(!IsXxxxProcess(Process))
        return;
 
    if(!g_EnablePatch)
        return;
 
 
    if(IsXxxxMainThread(Thread))
        PatchXxxx(FALSE);
    else
        PatchXxxx(TRUE);
     
}
//*************************************************************************
__declspec(naked) NewSwapContext()
{
    __asm
    {
        pushad
        push esi
        call PreSwapContext
        popad
 
        call OldSwapContext
         
        pushad
        push esi
        call PostSwapContext
        popad
 
        ret
    }
}
//*************************************************************************
2012-11-11 18:48
0
cvcvxk
雪    币: 8833
活跃值: (2419)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
8
32位系统早就该淘汰了~
2012-11-11 21:40
0
Prochg
雪    币: 14
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
64位系统也是一样滴,现代操作系统的设计原理都差不多的。
检测如果是一个线程,线程依赖线程调度,同样无视之。
Patchguard也是内存检测,由于用的是TimerDpc,不受线程调度影响,所以改成DPC分发时让检测线程,进程(或者说此时的虚拟内存为正确完整的),完全可以透明绕过任何检测。
难点是多CPU,多线程(或DPC)同时执行,如何保证相同进程的不同线程同时执行时的虚拟内存不一致才是最重要的,哎哟,扯远了,不说这个了
2012-11-11 22:35
0
cvcvxk
雪    币: 8833
活跃值: (2419)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
10
用我的PageXX+DPC切入点切Cr3~对于HV关闭的PG确实ok。没HV的PG跟拔了牙的老虎一样~
2012-11-11 22:52
0
Prochg
雪    币: 14
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
好不容易从3到0,结果,世界已是-1
黑客帝国
2012-11-11 23:13
0
wmbol
雪    币: 2120
活跃值: (78)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
12
ls大牛 表示看不懂啊
2012-11-12 00:19
0
cvcvxk
雪    币: 8833
活跃值: (2419)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
13
是啊,我痛恨HV~因为HV对nested VT支持狗屎一样的吐血~
2012-11-13 04:31
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》