-
-
[求助]SSDTHOOK读参数值的出错
-
发表于: 2016-6-14 14:10
-
SSDTHOOK的时候部分参数还在用户空间,所以在读的时候会出错,当然要用到try except 加上probeforread 但是在调试时候出现一个问题,帮忙看看
kd> g
Breakpoint 0 hit
nt!NtCreateProcessEx:
805c836a 6a0c push 0Ch
kd> dd esp
b225dce4 f89ab449 0204dc54 001f0fff 00000000
b225dcf4 ffffffff 00000000 0000053c 00000000
b225dd04 00000000 00000000 65d00599 b225dd64
b225dd14 0204d89c f89ab3a0 805c836a b225dd0c
b225dd24 b225d780 ffffffff f89ab000 2f6f1999
b225dd34 fffffffe b225dd64 8053e638 0204dc54
这是我给xp系统 创建进程下断,按照函数原形来讲,第三个参数是object_attribute,但是这里断下来是0,并且g之后成功打开进程,这是什么情况。。。。
kd> g
Breakpoint 0 hit
nt!NtCreateProcessEx:
805c836a 6a0c push 0Ch
kd> dd esp
b225dce4 f89ab449 0204dc54 001f0fff 00000000
b225dcf4 ffffffff 00000000 0000053c 00000000
b225dd04 00000000 00000000 65d00599 b225dd64
b225dd14 0204d89c f89ab3a0 805c836a b225dd0c
b225dd24 b225d780 ffffffff f89ab000 2f6f1999
b225dd34 fffffffe b225dd64 8053e638 0204dc54
这是我给xp系统 创建进程下断,按照函数原形来讲,第三个参数是object_attribute,但是这里断下来是0,并且g之后成功打开进程,这是什么情况。。。。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
