[求助]windbg调试 KeyboardClassServiceCallback 问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]windbg调试 KeyboardClassServiceCallback 问题

2018-5-9 22:40 2533

[求助]windbg调试 KeyboardClassServiceCallback 问题

xtayaitak

2018-5-9 22:40

2533

刚开始学习驱动方面。处处碰壁。

我在kbdclass!KeyboardClassServiceCallback里下断点用 kb看到的参数是这样的

fffff880`052d461e : fffffa80`0268d3d0 fffffa80`02697ce0 fffffa80`0268d601 fffffa80`02c1ba18 : kbdclass!KeyboardClassServiceCallback+0x9c
fffff800`03e9bb1c : fffff800`04002e80 000000d6`00000000 fffffa80`0268d280 fffffa80`0268d6a0 : i8042prt!I8042KeyboardIsrDpc+0x28e
fffff800`03e8836a : fffff800`04002e80 fffff800`04010cc0 00000000`00000000 fffff880`052d4390 : nt!KiRetireDpcList+0x1bc
00000000`00000000 : fffff800`00b9d000 fffff800`00b97000 fffff800`00b9cc00 00000000`00000000 : nt!KiIdleLoop+0x5a

这个函数原型为：

VOID KeyboardClassServiceCallback(
  _In_    PDEVICE_OBJECT       DeviceObject,
  _In_    PKEYBOARD_INPUT_DATA InputDataStart,
  _In_    PKEYBOARD_INPUT_DATA InputDataEnd,
  _Inout_ PULONG               InputDataConsumed
);

那我认为是

fffffa80`0268d3d0 对应 PDEVICE_OBJECT       
fffffa80`02697ce0 对应 InputDataStart
fffffa80`0268d601 对应 InputDataEnd
fffffa80`02c1ba18 对应 InputDataConsumed

但是实限 InputDataEnd为会比InputDataStart的还要小呢？

还有一点想问一下：为何在调试这个函数时，寄存器也看不了呢

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

收藏・0

点赞・0

打赏