-
-
[求助]如何操作PUSH_LOCK
-
发表于: 2013-9-16 18:28
-
内核里有无数数据让人有上去OOXX一下的冲动
,不过为了少蓝屏只能按规矩办事了。
Windows NT本事就是按照多处理器系统的要求设计的,所以很多数据结构都带有锁,其中很常见的一种是推锁(EX_PUSH_LOCK)。
很不幸的是,WRK中可以看到的几种系统操作推锁的函数都是未导出的
,MSDN上搜了一圈,倒是有所收获:
FltAcquirePushLockExclusive
FltDeletePushLock
FltInitializePushLock
FltReleasePushLock
但是这似乎是file system minifilter drivers 用的,MSDN上写着
"This section contains references, in alphabetical order, for the system-supplied FltXxx support routines that can be used by kernel-mode file system minifilter drivers but not by device drivers. "
就算能用上它们,也不清楚是不是可以直接操作内核的推锁,恶心的MS说不定搞个访问检查什么的就悲剧了。WRK和Windbg里似乎也没找到它们(大概在哪个sys里导出的,又没有下符号)。求助一下各位有何好的解决方法
,难道得自己实现么
,不过为了少蓝屏只能按规矩办事了。Windows NT本事就是按照多处理器系统的要求设计的,所以很多数据结构都带有锁,其中很常见的一种是推锁(EX_PUSH_LOCK)。
很不幸的是,WRK中可以看到的几种系统操作推锁的函数都是未导出的
,MSDN上搜了一圈,倒是有所收获:FltAcquirePushLockExclusive
FltDeletePushLock
FltInitializePushLock
FltReleasePushLock
但是这似乎是file system minifilter drivers 用的,MSDN上写着
"This section contains references, in alphabetical order, for the system-supplied FltXxx support routines that can be used by kernel-mode file system minifilter drivers but not by device drivers. "
就算能用上它们,也不清楚是不是可以直接操作内核的推锁,恶心的MS说不定搞个访问检查什么的就悲剧了。WRK和Windbg里似乎也没找到它们(大概在哪个sys里导出的,又没有下符号)。求助一下各位有何好的解决方法
,难道得自己实现么
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
