首页
社区
课程
招聘
[求助]关于 rdmsr 176 指令的问题
发表于: 2019-2-17 22:48 3519

[求助]关于 rdmsr 176 指令的问题

2019-2-17 22:48
3519
请教一个问题,我调试WIN7 32位虚拟机,好多资料都说是rdmsr  176 ,得到的是KiFastCallEntry的地址,我怎么得到的是nt!KiFastCallEntryShadow函数的地址,不知道这两个函数有什么关系,为什么我不能得到 KiFastCallEntry的地址呢?现在百思不得不得其解,百度搜也没有结果,有哪位大神给说一下?在此先谢过了!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2019-2-17 22:49 被wxsys编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (3)
雪    币: 12848
活跃值: (9143)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
2
KiFastCallEntryShadow是KVAShadow(内核地址空间隔离)补丁启用时的系统调用入口
2019-2-18 13:10
1
雪    币: 26
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢您的指点!
我刚学习这方面,根据提示我大概艘了一下,是否可以理解为系统打了某个补丁,现在使用这些方法无法获得KiFastCallEntry的地址了,像下面的代码:
PVOID __declspec(naked) GetKiFastCallEntryAddress()
{
  __asm
  {
    MOV  ECX, 0x00000176;
    RDMSR;
    RETN;
  }
}
ULONG g_BeginAddr = NULL;
    __asm
    {
        pushad
            mov  eax, [ebp + 4]
            mov  g_BeginAddr, eax
            popad
    }
       DbgPrint("The KiFastCallEnety Address is %x\n",g_BeginAddr);
2019-2-18 17:37
0
雪    币: 26
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
hzqst KiFastCallEntryShadow是KVAShadow(内核地址空间隔离)补丁启用时的系统调用入口

         
hzqst:太感谢您了!
确实因为这个补丁,出现了找不到KiFastCallEntry地址的情况
2019-2-18 18:38
0
游客
登录 | 注册 方可回帖
返回
//