[讨论]关于V大POOL驱动的梗疑问~-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 2 楼这是一个值得确认的问题, 因为,n多人用重载内核, 内核中无时无刻都在触发异常然后解决异常, 但是,怎么就没人发现这种太阳从东边起的bug? 2014-5-14 09:02 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 3 楼晕,灵光一闪,难道是x86没这个问题,x64系统才有的问题,囧~ 啊~~谁去测试一下吧~~~ 2014-5-14 09:04 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 4 楼 pool驱动，内核重载，还有复制game.dll运行副本，这样操作会出现一些意想不到的问题的。如果被重载的可执行模块是规范编译出来的可执行代码，还有其数据复制以后不影响运行，那么就可以重载，这是要经过完整的逐条汇编代码论证过后才能得出这个模块是否可重载的结论。如果某些模块不能重载，那么使用中可能暂时没问题，但一旦出现意想不到的问题那就很麻烦了。 2014-5-14 09:53 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 5 楼当然，如果你能把一个模块所有代码都分析透彻，你重载一份来使用，不如说是你自己编写实现该模块的所有功能，那样有什么不可以，谁也拦不住你啊。你的目标模块该实现的功能，我都自己手写一遍，不用你的模块用我自己的模块来实现。呵呵，所以分析其他模块所有代码全部分析一遍是不现实的。 2014-5-14 10:15 0
cvcvxk 雪币： 8835 活跃值： (2394) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 6 楼有些奇葩的情况会蓝的飞起。SEH落点在新内核情况。 2014-5-14 10:30 0
hatling 雪币： 229 活跃值： (493) 能力值： ( LV10，RANK：170 ) 在线值：发帖 44 回帖 218 粉丝 5 关注私信	hatling 3 7 楼表示pool驱动产品中用了很多年了也一直没出现过任何问题 x86 and x64 2014-5-14 10:47 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 8 楼我个人看法是：你重载内核后，物理内存使用比例还远远没有到换页程度，基本的分页内存数据还没有被换页写到页文件，所以你没有碰到蓝屏，你是否可以在你重载后想办法让非分页内存使用率紧张起来，也许就能见到你想要的蓝屏。 2014-5-14 11:36 0
cvcvxk 雪币： 8835 活跃值： (2394) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 9 楼 100W用户，还是1000W用户？，还是1亿用户，还是10亿用户？表示见过100W用户的POOL驱动的各种蓝屏了~ 其他级别没见过。 2014-5-14 12:08 0
sidyhe 雪币： 2153 活跃值： (735) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 339 粉丝 9 关注私信	sidyhe 1 10 楼如果处理重定位的时候全部指向原模块，异常处理函数指向原模块，所以不会蓝。我以前做的时候就是区分了重定位代码和变量，除变量外的所有重定位指向新模块，就需要添加LDR来解决异常问题了 2014-5-14 12:45 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 11 楼原来如此.这个有道理 2014-5-14 13:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 2 楼这是一个值得确认的问题, 因为,n多人用重载内核, 内核中无时无刻都在触发异常然后解决异常, 但是,怎么就没人发现这种太阳从东边起的bug? 2014-5-14 09:02 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 3 楼晕,灵光一闪,难道是x86没这个问题,x64系统才有的问题,囧~ 啊~~谁去测试一下吧~~~ 2014-5-14 09:04 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 4 楼 pool驱动，内核重载，还有复制game.dll运行副本，这样操作会出现一些意想不到的问题的。如果被重载的可执行模块是规范编译出来的可执行代码，还有其数据复制以后不影响运行，那么就可以重载，这是要经过完整的逐条汇编代码论证过后才能得出这个模块是否可重载的结论。如果某些模块不能重载，那么使用中可能暂时没问题，但一旦出现意想不到的问题那就很麻烦了。 2014-5-14 09:53 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 5 楼当然，如果你能把一个模块所有代码都分析透彻，你重载一份来使用，不如说是你自己编写实现该模块的所有功能，那样有什么不可以，谁也拦不住你啊。你的目标模块该实现的功能，我都自己手写一遍，不用你的模块用我自己的模块来实现。呵呵，所以分析其他模块所有代码全部分析一遍是不现实的。 2014-5-14 10:15 0
cvcvxk 雪币： 8835 活跃值： (2394) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 6 楼有些奇葩的情况会蓝的飞起。SEH落点在新内核情况。 2014-5-14 10:30 0
hatling 雪币： 229 活跃值： (493) 能力值： ( LV10，RANK：170 ) 在线值：发帖 44 回帖 218 粉丝 5 关注私信	hatling 3 7 楼表示pool驱动产品中用了很多年了也一直没出现过任何问题 x86 and x64 2014-5-14 10:47 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 5 关注私信	linziqingl 4 8 楼我个人看法是：你重载内核后，物理内存使用比例还远远没有到换页程度，基本的分页内存数据还没有被换页写到页文件，所以你没有碰到蓝屏，你是否可以在你重载后想办法让非分页内存使用率紧张起来，也许就能见到你想要的蓝屏。 2014-5-14 11:36 0
cvcvxk 雪币： 8835 活跃值： (2394) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 9 楼 100W用户，还是1000W用户？，还是1亿用户，还是10亿用户？表示见过100W用户的POOL驱动的各种蓝屏了~ 其他级别没见过。 2014-5-14 12:08 0
sidyhe 雪币： 2153 活跃值： (735) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 339 粉丝 9 关注私信	sidyhe 1 10 楼如果处理重定位的时候全部指向原模块，异常处理函数指向原模块，所以不会蓝。我以前做的时候就是区分了重定位代码和变量，除变量外的所有重定位指向新模块，就需要添加LDR来解决异常问题了 2014-5-14 12:45 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 11 楼原来如此.这个有道理 2014-5-14 13:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复