首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[讨论]windows驱动中的zw函数调用irql
发表于: 2018-7-19 17:52 3240

[讨论]windows驱动中的zw函数调用irql

沉醉星渊 活跃值
2018-7-19 17:52
3240
一般像打开文件或者注册表的函数,都有这个irql级别限制,那么在dl级别,如何能够成功的调用这些函数呢,丢到安全线程里面,这种方法又不能及时的返回结果

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (6)
Tennn
雪    币: 1176
活跃值: (1264)
能力值: ( LV12,RANK:380 )
在线值:
发帖
回帖
粉丝
私信
2
KeInitializeEvent
2018-7-19 18:31
0
FaEry
雪    币: 5039
活跃值: (2626)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
3
不知楼主为啥会需要在dispatch level里面调用api 这个等级好多api都不允许调用的,你写设备驱动的?还是dpc?我一直都没遇到你说的这种场景
如果真要用的话
KeInitializeEvent
ExQueueWorkItem
KeWaitForSingleObject(INFINITE)
2018-7-19 19:36
0
hzqst
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
4
WorkItem就完事了
2018-7-20 11:13
0
沉醉星渊
雪    币: 16
活跃值: (527)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
因为有时候系统会自动提升irql到dl级别啊,那如果我要判断文件存不存在,需要调用zwcreatefile这个函数,它只能在pl级别调用,扔到系统线程里面并不能保证立刻返回呀,难道主线程一直等其返回吗
2018-7-23 11:41
0
hzqst
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
6
沉醉星渊 因为有时候系统会自动提升irql到dl级别啊,那如果我要判断文件存不存在,需要调用zwcreatefile这个函数,它只能在pl级别调用,扔到系统线程里面并不能保证立刻返回呀,难道主线程一直等其返回吗
不知道你说的什么情况会自动提升到DPC LEVEL
2018-7-23 15:42
0
沉醉星渊
雪    币: 16
活跃值: (527)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
谢谢诸位了
2018-7-25 11:43
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//