-
-
[求助]初始化线程时修改了_KTHREAD::ServiceTable之后。。。
-
发表于: 2013-5-8 18:43
-
前段时间发了个求助帖,看这里:
http://bbs.pediy.com/showthread.php?p=1161725#post1161725。
首先感谢cvcvxk和Winker。
但是问题接踵而来:
以OLLYICE为例:
未加载驱动时,该进程拥有两个线程(通过procexp.exe观察):
TID ... ..... Start Address
1380 OllyICE+0x1000
1416 Loaddll.dll+0x108d
加载了驱动之后,只有一个线程:
TID ... ..... Start Address
1380 OllyICE+0x1000
就是说起始地址不在进程映像文件中的线程没有被创建。
同样的情况也发生在procexp.exe本身,凡是所有起始地址不在procexp.exe中的线程都不会被创建。
OLLYICE和procexp.exe唯一的不同是,即便是没有被创建的线程,OLLYICE也能正常启动;而procexp.exe则在启动后迅速崩溃,提示某内存地址不可写。
请诸大神推断一下这种情况是哪里出了问题?
http://bbs.pediy.com/showthread.php?p=1161725#post1161725。
首先感谢cvcvxk和Winker。
但是问题接踵而来:
以OLLYICE为例:
未加载驱动时,该进程拥有两个线程(通过procexp.exe观察):
TID ... ..... Start Address
1380 OllyICE+0x1000
1416 Loaddll.dll+0x108d
加载了驱动之后,只有一个线程:
TID ... ..... Start Address
1380 OllyICE+0x1000
就是说起始地址不在进程映像文件中的线程没有被创建。
同样的情况也发生在procexp.exe本身,凡是所有起始地址不在procexp.exe中的线程都不会被创建。
OLLYICE和procexp.exe唯一的不同是,即便是没有被创建的线程,OLLYICE也能正常启动;而procexp.exe则在启动后迅速崩溃,提示某内存地址不可写。
请诸大神推断一下这种情况是哪里出了问题?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
