最近研究调试原理发现系统处理INT3如果有调试器的情况下会调用KeWaitForSingleObject永久等待 直到调试器处理完毕。。但是我在自己的INT3处理过程里面调用KeWaitForSingleObject会死机 一直不解 。后来我去HOOK系统的代码DbgkForwardException 这个函数的函数头被我JMP到自己的代码里面去 可以成功调用KeWaitForSingleObject. 然后我发现在KiDispatchException的CALL DbgkForwardException这里HOOK掉 调用KeWaitForSingleObject.这个函数一样是死 。这个是为什么呢 。有点想不通啊 ,,都是在INT3里面。为什么DbgkForwardException 内部就可以调用呢 。而且我检查了IRQL 好像也是正常的 。基本上是死在KiCommitThreadWait里面 。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
