-
-
[求助]KdSendPacket下了钩子,过了几秒虚拟机挂了,有点蒙
-
发表于:
2016-9-6 22:36
4102
-
[求助]KdSendPacket下了钩子,过了几秒虚拟机挂了,有点蒙
学习过TP的虚拟机双机调试的检测,刚开始摸索!用的系统是win7 32位机器。
看了论坛的一些资料,于是想先练个手,先给KdSendPacket下个钩子,主要是想看看他是被哪个函数调用的,想钩它的返回地址。不才,翻了ida,也看了wrk 和 rectOs,也没看到这函数是哪调用的,windbg给他下断点,也断不住。所以想到的这笨办法!
问题如下:
1. windbg下单步跟踪装载钩子的函数,发现钩子是正常的加载了,g一把,能直接返回到DriverEntry函数,
2.装载钩子成功以后,试着windbg连续中断了1-2次,也是能正常中断了
3.打开dbgview想看看输出结果,咔嚓,虚拟机崩了
蒙圈在这里:驱动保护都没开呢,既然钩子加成功了,它咋会崩呢?不会是跟dbgview有关吧。盼指点
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
