-
-
[求助]windbg调试 KeyboardClassServiceCallback 问题
-
发表于:
2018-5-9 22:40
2994
-
[求助]windbg调试 KeyboardClassServiceCallback 问题
刚开始学习驱动方面。处处碰壁。
我在kbdclass!KeyboardClassServiceCallback里下断点用 kb看到的参数是这样的
fffff880`052d461e : fffffa80`0268d3d0 fffffa80`02697ce0 fffffa80`0268d601 fffffa80`02c1ba18 : kbdclass!KeyboardClassServiceCallback+0x9c
fffff800`03e9bb1c : fffff800`04002e80 000000d6`00000000 fffffa80`0268d280 fffffa80`0268d6a0 : i8042prt!I8042KeyboardIsrDpc+0x28e
fffff800`03e8836a : fffff800`04002e80 fffff800`04010cc0 00000000`00000000 fffff880`052d4390 : nt!KiRetireDpcList+0x1bc
00000000`00000000 : fffff800`00b9d000 fffff800`00b97000 fffff800`00b9cc00 00000000`00000000 : nt!KiIdleLoop+0x5a
这个函数原型为:
VOID KeyboardClassServiceCallback(
_In_ PDEVICE_OBJECT DeviceObject,
_In_ PKEYBOARD_INPUT_DATA InputDataStart,
_In_ PKEYBOARD_INPUT_DATA InputDataEnd,
_Inout_ PULONG InputDataConsumed
);
那我认为是
fffffa80`0268d3d0 对应 PDEVICE_OBJECT
fffffa80`02697ce0 对应 InputDataStart
fffffa80`0268d601 对应 InputDataEnd
fffffa80`02c1ba18 对应 InputDataConsumed
但是 实限 InputDataEnd为会比InputDataStart的还要小呢?
还有一点想问一下:为何在调试这个函数时,寄存器也看不了呢
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
