首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]驱动 访问内存错误蓝屏 0.00雪花
发表于: 2012-12-3 10:26 1320

[旧帖] [求助]驱动 访问内存错误蓝屏 0.00雪花

zj你好 活跃值
2012-12-3 10:26
1320
VOID GetExAcquireFastMutexAddr()
{
       
  ULONG  Address=0;
  ULONG temp_addr;
  char* temp_cr=0;
  Address = (ULONG)pSSDT+ 269 * 4;   

  temp_addr = *(ULONG*)Address;
KdPrint(("temp_addr%x\n",temp_addr));

  temp_addr=temp_addr+0x10D;
KdPrint(("temp_addr%x\n",temp_addr));

  temp_cr=(char*)temp_addr;
  ExAcquireFastMutex_addr=*((ULONG*)&temp_cr[2]);
KdPrint(("ExAcquireFastMutex_addr%x\n",ExAcquireFastMutex_addr));

  ExAcquireFastMutex_addr=*(ULONG*)ExAcquireFastMutex_addr;此处蓝屏求解
KdPrint(("ExAcquireFastMutex_addr%x\n",ExAcquireFastMutex_addr));

;*** Fatal System Error: 0x00000050
                                                  (0x85C0B60F,0x00000000,0xB1AF0E64,0x00000000)

用windbg查看ExAcquireFastMutex_addr
kd> dd 85c0b60f
*** ERROR: Module load completed but symbols could not be loaded for intelppm.sys
85c0b60f  ???????? ???????? ???????? ????????
85c0b61f  ???????? ???????? ???????? ????????
85c0b62f  ???????? ???????? ???????? ????????
85c0b63f  ???????? ???????? ???????? ????????
85c0b64f  ???????? ???????? ???????? ????????
85c0b65f  ???????? ???????? ???????? ????????
85c0b66f  ???????? ???????? ???????? ????????
85c0b67f  ???????? ???????? ???????? ????????

求问题所在!!!!大牛来一位啊

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
vlks
雪    币: 85
活跃值: (37)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
看不懂这个获取函数。。。。来大神吧
2012-12-4 13:52
0
学雄
雪    币: 371
活跃值: (72)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
3
这还不简单,你用windbg查看内存时,看到的是问号,就表示地址是不存在的,直接访问会触发异常,
而你没有使用seh,当然蓝屏啦~

如果地址存在的话,windbg会写上0,或者其他的数据~
2012-12-5 11:30
0
学雄
雪    币: 371
活跃值: (72)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
4
kd> dd 80000bd4   下面这样的,访问会触发异常,直接蓝屏
80000bd4  ???????? ???????? ???????? ????????
80000be4  ???????? ???????? ???????? ????????
80000bf4  ???????? ???????? ???????? ????????
80000c04  ???????? ???????? ???????? ????????
80000c14  ???????? ???????? ???????? ????????
80000c24  ???????? ???????? ???????? ????????
80000c34  ???????? ???????? ???????? ????????
80000c44  ???????? ???????? ???????? ????????
kd> dd 80400bd4   下面的就不会触发,对比下数据你就明白了~
80400bd4  00000000 00000000 00000000 00000000
80400be4  00000000 00000000 00000000 00000000
80400bf4  00000000 00000000 00000000 00000000
80400c04  00000000 00000000 00000000 00000000
80400c14  00000000 00000000 00000000 00000000
80400c24  00000000 00000000 00000000 00000000
80400c34  00000000 00000000 00000000 00000000
80400c44  00000000 00000000 00000000 00000000
2012-12-5 11:37
0
遗失灵魂
雪    币: 220
活跃值: (117)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
5
解除cr0的只读保护即可
2012-12-5 22:18
0
遗失灵魂
雪    币: 220
活跃值: (117)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
6
哎呀? 指针指到不知道什么地方去了。。。这不是SSDT的说?
2012-12-5 22:20
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//