首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]怎么回事, 驱动中,读win32k.sys模块内容,出错:PAGEOn NOPAGE ERROR
发表于: 2017-7-2 19:31 3471

[求助]怎么回事, 驱动中,读win32k.sys模块内容,出错:PAGEOn NOPAGE ERROR

MClint 活跃值
2017-7-2 19:31
3471

 如题,

怎么回事, 驱动中,读win32k.sys模块内容,出错:PAGEOn NOPAGE ERROR

  即使 MmProbeAndLockPages,也捕捉不到,仍然蓝屏,代码如下,就这一段都蓝屏。

SYSTEM_MODULE sm;
  rt = GetWin32kSys(sm);
  KdPrint(("sm: %d, %p, %p, ", rt, sm.ImageBaseAddress, sm.ImageSize ));

  PMDL  pMdl = IoAllocateMdl((void*)sm.ImageBaseAddress, 0x1000, FALSE, FALSE, NULL);    
  KdPrint(("pMdl: %p, ", pMdl ));
  if (pMdl)
  {
   KdPrint(("pMdl: %p, %p, %p", pMdl->MappedSystemVa, pMdl->Size, pMdl->ByteCount ));
   __try
   {
    MmProbeAndLockPages(pMdl, KernelMode, IoReadAccess);
    KdPrint(("MmProbeAndLockPages OK\n"));
   }
   __except(EXCEPTION_EXECUTE_HANDLER)
   {
    KdPrint(("MmProbeAndLockPages exception\n"));
   }
  }
//   
// 
  if (pMdl)
   IoFreeMdl(pMdl);


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (4)
叁毛
雪    币: 7
活跃值: (333)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
2
进程挂靠到csrss.exe进程
2017-7-2 20:47
0
MClint
雪    币: 11
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
请问,我在DriverEntry中,找到win32k.sys模块基址后,比如,只读最开始的'MZ'两个字,这样也需要挂到csrss.exe吗?不应当只有执行win32k,sys的函数才需要挂靠吗?
2017-7-2 21:41
0
hzqst
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
4
MClint 请问,我在DriverEntry中,找到win32k.sys模块基址后,比如,只读最开始的'MZ'两个字,这样也需要挂到csrss.exe吗?不应当只有执行win32k,sys的函数才需要挂靠吗?
driverentry时cr3是System进程的,页表里没有win32k这种东西
2017-7-2 22:30
0
MClint
雪    币: 11
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
谢了,明白了。
2017-7-18 17:05
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//