首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]KeAttachProcess蓝屏问题
发表于: 2014-8-13 04:24 4326

[求助]KeAttachProcess蓝屏问题

roccheung 活跃值
2014-8-13 04:24
4326
BOOLEAN AttachGUIProcess(PCHAR pImageName)
{
       
        PEPROCESS pTargetProcess = FindProcess(pImageName);

        if (pTargetProcess == NULL)
        {
                KdPrint(("GUIProcess is not found!\n"));
                return FALSE;
        }
       
        /*******
        if (KeGetCurrentIrql() != PASSIVE_LEVEL)
        {
                KeLowerIrql(PASSIVE_LEVEL);
        }
        *******/
       
        // 切换进程
        KeAttachProcess(pTargetProcess);

        KdPrint(("PsGetCurrentProcess() == 0x%x\n", PsGetCurrentProcess()));
       
        return TRUE;
}

各位老大能帮忙看看为什么一执行KeAttachProcess就挂载进程错误?
FindProcess是根据进程名称返回对应的进程,我也看了打印结果。
确实是切换到别的进程空间了,但是过一会就蓝屏了。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (4)
czcqq
雪    币: 350
活跃值: (87)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
私信
2
你这代码不蓝屏,我就感觉奇怪了,强行改变系统的IRQL,而且改变之后不恢复,不蓝屏才怪,改变系统的IRQL会引起系统的共享冲突。
2014-8-13 11:05
0
czcqq
雪    币: 350
活跃值: (87)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
私信
3
你不应该改变IRQL的,你应该创建新的线程,使用新的线程来处理,要调用这函数的话,通过发送自定义消息到线程,然后等待线程处理完成,这样就避免强行改变IRQL引起的系统共享冲突。
2014-8-13 11:11
0
roccheung
雪    币: 185
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
大哥,改变IRQL的代码是注释的哦,没有启用!!!
2014-8-14 17:16
0
roccheung
雪    币: 185
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
我试过了,如果快速的KeDetachProcess后, 就不会产生问题!
而且在网上找了几个相应的案例,如果长时间Attach在某个进程,Windows都会检测并产生蓝屏!
2014-8-14 17:19
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//