首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
编程技术
发新帖
2
0
[求助]关于inline hook的一个疑问
发表于: 2015-4-21 09:53
5422
[求助]关于inline hook的一个疑问
darrin
2015-4-21 09:53
5422
原始链接在这,http://bbs.pediy.com/showthread.php?t=71480某大牛整理的;
对于这部分的KSPIN_LOCK 不明白,感觉这么写没意义啊,求指正。。。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
上传的附件:
QQ图片20150421094813.jpg
(59.20kb,4次下载)
收藏
・
2
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
8
)
IamHuskar
雪 币:
1392
活跃值:
(5207)
能力值:
( LV13,RANK:240 )
在线值:
发帖
76
回帖
1662
粉丝
68
关注
私信
IamHuskar
4
2
楼
主要是保证memcpy的时候不会被切换或者中断
想想如果memcpy5字节完成了前面4字节的拷贝 还有最后一字节没有拷贝。此时发生了线程切换。恰好该线程执行了你正在修改的数据,此时你拷贝还没完成。蓝屏就发生了。
2015-4-21 10:26
0
IamHuskar
雪 币:
1392
活跃值:
(5207)
能力值:
( LV13,RANK:240 )
在线值:
发帖
76
回帖
1662
粉丝
68
关注
私信
IamHuskar
4
3
楼
不过多核心多字节还是可能有问题,其他核心不跟你旋怎么办?
2015-4-21 10:38
0
darrin
雪 币:
27
活跃值:
(11)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
26
粉丝
1
关注
私信
darrin
4
楼
使用这个KeRaiseIrqlToDpcLevel();是不是会更好点
2015-4-21 10:44
0
IamHuskar
雪 币:
1392
活跃值:
(5207)
能力值:
( LV13,RANK:240 )
在线值:
发帖
76
回帖
1662
粉丝
68
关注
私信
IamHuskar
4
5
楼
这个本身就是提升到DISPATCH_LEVEL 效果和前面的文档keAcquireSpinLock效果是一样的。重点是你只提升了当前的CPU到DISPATCH_LEVEL,多核别的CPU还是可能执行到你的函数这里蓝屏。
最好的办法是选取4字节或者8字节的HOOK点。调用InterLocked系列函数完成原子操作。
2015-4-21 10:55
0
SdKfz
雪 币:
1
活跃值:
(1174)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
81
粉丝
2
关注
私信
SdKfz
6
楼
用IPI将其它CPU先挂起,就安全了吧
2015-4-21 18:27
0
无名侠
雪 币:
6911
活跃值:
(9074)
能力值:
( LV17,RANK:797 )
在线值:
发帖
74
回帖
406
粉丝
584
关注
私信
无名侠
12
7
楼
cil关中断应该也可以
2015-4-21 23:14
0
dahubaobao
雪 币:
207
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
50
粉丝
0
关注
私信
dahubaobao
8
楼
这个没用,属于多此一举。
单CPU,只提升IRQL就行了。
多CPU,排DPC + 原子操作指令。
没有100%安全的hook。你要hook的位置必须保证没有任何线程EIP落在这里,然后锁死CPU修改指令,这是安全的,如果你hook时,有线程EIP落在这里,除非修正线程EIP,否则线程恢复执行后必出事。。。
2015-4-23 12:29
0
浙江螃蟹
雪 币:
5467
活跃值:
(1435)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
142
粉丝
0
关注
私信
浙江螃蟹
9
楼
这代码很风骚啊
2015-4-26 14:30
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
darrin
2
发帖
26
回帖
10
RANK
关注
私信
他的文章
[求助]关于TDI驱动的几个问题
3302
[求助]关于inline hook的一个疑问
5423
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
谁下载
×
easyjun
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部