首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]HOOK KeAttachProcess, BugCheck A 蓝屏疑惑
发表于: 2018-8-6 00:45 4906

[求助]HOOK KeAttachProcess, BugCheck A 蓝屏疑惑

萌克力 活跃值
2018-8-6 00:45
4906

关于驱动进行的操作:

Win7下 Hook了KeAttachProcess来替换Cr3,替换的Cr3都是取系统进程_readcr3()出来的。


疑惑描述:
BugCheck A 第一个参数是20,导致的函数是MiGetProtoPteAddress()。百度了下是操作cr3的。可是cr3怎么会是20呢...
因为是替换的系统Cr3,所以要对Cr3做一些判断来确定是不是可以用来做替换吗。
疑惑..



BugCheck A, {20, 2, 0, fffff80258bafcbf}

Probably caused by : memory_corruption ( nt!MiGetProtoPteAddress+11282f )

PROCESS_NAME:  System
rax=0000000000000000 rbx=0000000000000000 rcx=0000000000000002
rdx=00000000ffffffff rsi=0000000000000000 rdi=0000000000000000
rip=fffff80258bafcbf rsp=ffff9101c8b475d0 rbp=0000000000000009
 r8=ffffe70f89810948  r9=ffff9101c8b47680 r10=0000000000019600
r11=0000000000019610 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0         nv up ei ng nz na po nc
nt!MiGetProtoPteAddress+0x11282f:
fffff802`58bafcbf 488b4820        mov     rcx,qword ptr [rax+20h] ds:00000000`00000020=????????????????
Resetting default scope

LAST_CONTROL_TRANSFER:  from fffff80258b7d0e9 to fffff80258b717d0

STACK_TEXT:  
ffff9101`c8b472f8 fffff802`58b7d0e9 : 00000000`0000000a 00000000`00000020 00000000`00000002 00000000`00000000 : nt!KeBugCheckEx
ffff9101`c8b47300 fffff802`58b7b47d : ffffe70f`87b31001 ffff9101`c8b474e0 ffff9101`c8b47490 ffff9101`c8b47472 : nt!KiBugCheckDispatch+0x69
ffff9101`c8b47440 fffff802`58bafcbf : ffff9101`c8b47700 ffffe572`b95ca000 ffffe572`b95ca000 ffffe572`b9400000 : nt!KiPageFault+0x23d
ffff9101`c8b475d0 fffff802`58a9dcf0 : 00000000`19610000 ffffe500`000cb098 ffffe500`000cb090 00000000`00002000 : nt!MiGetProtoPteAddress+0x11282f
ffff9101`c8b47650 fffff802`58a9da04 : 00000000`19610000 ffffe500`000cb090 ffffaa81`7a007100 00000000`00000005 : nt!MiQueryAddressState+0x130
ffff9101`c8b476e0 fffff802`58f142a4 : ffff9101`c8b47848 00000000`00000005 00000000`00000005 00000000`19610000 : nt!MiQueryAddressSpan+0x164
ffff9101`c8b477a0 fffff802`58f13b2d : ffffc109`702315ee ffffaa81`7a0071c0 00000000`00000000 ffffe70f`8ed8f080 : nt!MmQueryVirtualMemory+0x764
ffff9101`c8b47940 fffff802`58b7cc53 : ffffaa81`88ead420 fffff802`58f3eb2b ffff9101`c8b479b0 00000000`00000000 : nt!NtQueryVirtualMemory+0x25
ffff9101`c8b47990 00007ffe`84fc02a4 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
000000b0`c019dec8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x00007ffe`84fc02a4


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2018-8-6 00:46 被萌克力编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (4)
はつゆき
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
私信
2
模仿TP的话就上vt或者idt hook吧,hook需要处理的东西太多了
2018-8-6 07:41
0
hzqst
雪    币: 12848
活跃值: (9143)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
3
MyKeStackAttachProcess(process, kapc){
  if(call from BEDaisy){
  return m_oldKeStackAttachProcess(BEService.exe_process, kapc);
}
return m_oldKeStackAttachProcess(process, kapc);
}

我知道你想干什么
但这没意义
2018-8-6 09:48
0
syser
雪    币: 3468
活跃值: (4609)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
hzqst MyKeStackAttachProcess(process, kapc){ if(call from BEDaisy){ return m_oldKeStackAttachProcess ...
是的
2018-8-6 16:58
0
幽灵剑客
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
XP上此方法已实现
2018-12-5 16:01
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//