[求助] MMapDriver方式加载驱动导致 __try __expect无效-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (19)
万剑归宗雪币： 914 活跃值： (2288) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 2 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 14:54 1
亲嘴雪币：活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	亲嘴 3 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 15:04 1
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 4 楼万剑归宗山总不知道什么情况，我们也不知道什么情况这并不好笑! 首先我来问问题，确实是我不懂才来问我也不是什么山总，我根本不知道山总是个什么玩意! 2018-11-23 15:04 0
StriveXjun 雪币： 1046 活跃值： (1261) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 5 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 15:31 0
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 263 关注私信	xiaofu 8 6 楼你需要日掉RtlpxLookupFunctionTable 2018-11-23 15:34 0
qdjytony 雪币： 665 活跃值： (1041) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 7 楼抄BLACKBONE你好歹看看commits吧.. 山总不知道什么情况，我们也不知道什么情况 2018-11-23 15:45 0
FANTASYING 雪币： 2435 活跃值： (630) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 148 粉丝 6 关注私信	FANTASYING 8 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 16:00 0
yllen 雪币： 1258 活跃值： (1434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 9 楼 MFC42.DLL找“喊话CALL” 2018-11-23 16:48 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 10 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 16:57 0
StriveXjun 雪币： 1046 活跃值： (1261) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 11 楼方法一：动态找 RtlInsertInvertedFunctionTable 调用，插入当前驱动模块基址和大小，WIN7 没问题，WIN10 PG蓝屏方法二：动态找 MiProcessLoaderEntry 调用，WIN7-WIN10 都不触发PG，缺点，你的驱动模块可以枚举出来。 2018-11-23 17:42 0
代码狗雪币： 152 活跃值： (220) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	代码狗 12 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 17:42 0
EvilTobe 雪币： 347 活跃值： (975) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	EvilTobe 13 楼 6楼说的对，x86异常靠栈，x64靠表参考RtlInsertInvertedFunctionTable 2018-11-23 17:45 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 14 楼不要用SAFESEH ,加载驱动和被加载驱动都用VS2008编译。2015的坑太多。 2018-11-23 18:29 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 15 楼还有尽量别用这种方式否则在WIN10开启了内核隔离，你会死的很惨。 2018-11-23 18:31 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 16 楼 StriveXjun 方法一：动态找 RtlInsertInvertedFunctionTable 调用，插入当前驱动模块基址和大小，WIN7 没问题，WIN10 PG蓝屏方法二：动态找 MiProcessLoader ... 非常感谢，唉 2018-11-23 19:13 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 17 楼 EvilTobe 6楼说的对，x86异常靠栈，x64靠表参考RtlInsertInvertedFunctionTable 谢 2018-11-23 19:13 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 18 楼 StriveXjun 方法一：动态找 RtlInsertInvertedFunctionTable 调用，插入当前驱动模块基址和大小，WIN7 没问题，WIN10 PG蓝屏方法二：动态找 MiProcessLoader ... RtlInsertInvertedFunctionTableWin7 pfnRtlInsertInvertedFunctionTable = NULL; do { if (!MmIsAddressValid((PVOID)pAddress)) break; pAddress = (PUCHAR)GetUndocumentFunctionAddressEx(NULL, pAddress, code, 5, 0x200, 0x90, 4, FALSE); if (!MmIsAddressValid(pAddress)) break; PsTable = GetLeaPoint(pAddress); if (!MmIsAddressValid(PsTable)) break; pfnRtlInsertInvertedFunctionTable = (RtlInsertInvertedFunctionTableWin7)GetCallAddress(pAddress + 7); if (!MmIsAddressValid((PVOID)pfnRtlInsertInvertedFunctionTable)) break; status = pfnRtlInsertInvertedFunctionTable(PsTable, pDriverInfo->ImageBase, pDriverInfo->ImageSize); } while (FALSE); 似乎没有作用 2018-11-23 20:58 0
StriveXjun 雪币： 1046 活跃值： (1261) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 19 楼老坛酸菜TM RtlInsertInvertedFunctionTableWin7 pfnRtlInsertInvertedFunctionTable = NULL; do { if (!MmIs ... 参考：https://github.com/strivexjun/MemoryModulePP/blob/master/MemoryModulePP.c 驱动层是一样的 2018-11-23 21:28 0
layerfsd 雪币： 8188 活跃值： (2772) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 6 关注私信	layerfsd 4 20 楼月入数十万的山总老是问这种问题，你的绝地驱动又不行了？ 2018-11-23 22:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (19)
万剑归宗雪币： 914 活跃值： (2288) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 2 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 14:54 1
亲嘴雪币：活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	亲嘴 3 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 15:04 1
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 4 楼万剑归宗山总不知道什么情况，我们也不知道什么情况这并不好笑! 首先我来问问题，确实是我不懂才来问我也不是什么山总，我根本不知道山总是个什么玩意! 2018-11-23 15:04 0
StriveXjun 雪币： 1046 活跃值： (1261) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 5 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 15:31 0
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 263 关注私信	xiaofu 8 6 楼你需要日掉RtlpxLookupFunctionTable 2018-11-23 15:34 0
qdjytony 雪币： 665 活跃值： (1041) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 7 楼抄BLACKBONE你好歹看看commits吧.. 山总不知道什么情况，我们也不知道什么情况 2018-11-23 15:45 0
FANTASYING 雪币： 2435 活跃值： (630) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 148 粉丝 6 关注私信	FANTASYING 8 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 16:00 0
yllen 雪币： 1258 活跃值： (1434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 9 楼 MFC42.DLL找“喊话CALL” 2018-11-23 16:48 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 10 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 16:57 0
StriveXjun 雪币： 1046 活跃值： (1261) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 11 楼方法一：动态找 RtlInsertInvertedFunctionTable 调用，插入当前驱动模块基址和大小，WIN7 没问题，WIN10 PG蓝屏方法二：动态找 MiProcessLoaderEntry 调用，WIN7-WIN10 都不触发PG，缺点，你的驱动模块可以枚举出来。 2018-11-23 17:42 0
代码狗雪币： 152 活跃值： (220) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	代码狗 12 楼山总不知道什么情况，我们也不知道什么情况 2018-11-23 17:42 0
EvilTobe 雪币： 347 活跃值： (975) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	EvilTobe 13 楼 6楼说的对，x86异常靠栈，x64靠表参考RtlInsertInvertedFunctionTable 2018-11-23 17:45 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 14 楼不要用SAFESEH ,加载驱动和被加载驱动都用VS2008编译。2015的坑太多。 2018-11-23 18:29 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 15 楼还有尽量别用这种方式否则在WIN10开启了内核隔离，你会死的很惨。 2018-11-23 18:31 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 16 楼 StriveXjun 方法一：动态找 RtlInsertInvertedFunctionTable 调用，插入当前驱动模块基址和大小，WIN7 没问题，WIN10 PG蓝屏方法二：动态找 MiProcessLoader ... 非常感谢，唉 2018-11-23 19:13 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 17 楼 EvilTobe 6楼说的对，x86异常靠栈，x64靠表参考RtlInsertInvertedFunctionTable 谢 2018-11-23 19:13 0
老坛酸菜TM 雪币： 42 活跃值： (208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 133 粉丝 3 关注私信	老坛酸菜TM 18 楼 StriveXjun 方法一：动态找 RtlInsertInvertedFunctionTable 调用，插入当前驱动模块基址和大小，WIN7 没问题，WIN10 PG蓝屏方法二：动态找 MiProcessLoader ... RtlInsertInvertedFunctionTableWin7 pfnRtlInsertInvertedFunctionTable = NULL; do { if (!MmIsAddressValid((PVOID)pAddress)) break; pAddress = (PUCHAR)GetUndocumentFunctionAddressEx(NULL, pAddress, code, 5, 0x200, 0x90, 4, FALSE); if (!MmIsAddressValid(pAddress)) break; PsTable = GetLeaPoint(pAddress); if (!MmIsAddressValid(PsTable)) break; pfnRtlInsertInvertedFunctionTable = (RtlInsertInvertedFunctionTableWin7)GetCallAddress(pAddress + 7); if (!MmIsAddressValid((PVOID)pfnRtlInsertInvertedFunctionTable)) break; status = pfnRtlInsertInvertedFunctionTable(PsTable, pDriverInfo->ImageBase, pDriverInfo->ImageSize); } while (FALSE); 似乎没有作用 2018-11-23 20:58 0
StriveXjun 雪币： 1046 活跃值： (1261) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 71 关注私信	StriveXjun 19 楼老坛酸菜TM RtlInsertInvertedFunctionTableWin7 pfnRtlInsertInvertedFunctionTable = NULL; do { if (!MmIs ... 参考：https://github.com/strivexjun/MemoryModulePP/blob/master/MemoryModulePP.c 驱动层是一样的 2018-11-23 21:28 0
layerfsd 雪币： 8188 活跃值： (2772) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 6 关注私信	layerfsd 4 20 楼月入数十万的山总老是问这种问题，你的绝地驱动又不行了？ 2018-11-23 22:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复