[已解决]可不可以自定义降低IRQL中段级别-茶余饭后-看雪-安全社区|安全招聘|kanxue.com

lwbkanxue

2019-5-25 19:40

2704

有时KeWaitForSingleObject 会出错，提示级别太高导致蓝屏。

必须要在 DPC 中断级别及下运行，能否使用函数KeLowerIrql自己去降低，但我看网上说是不可以的。

没搞明白，大神可以解释下吗，如果遇到这种情况怎么处理。

---------------------------------

问的太仓促，我还是先抓下DMP文件，看是不是访问了分页内存。

最后于 2019-5-25 20:17 被lwbkanxue编辑，原因：

收藏・1

免费・0

支持

最新回复 (2)
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼据说只能降自己升上去的irql，具体为什么我也不太清楚 2019-5-26 00:14 0
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 27 关注私信	zplusplus 1 3 楼你的参数不对，需要仔细读下MSDN中KeWaitForSingleObject的说明，当KEVENT在栈上开辟的时候Alertable需要设置为FALSE。 KEVENT是在别的地方初始化的，那么要保证存储KEVENT的内存是NonPage类型。 2019-5-27 11:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

lwbkanxue

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 2 楼据说只能降自己升上去的irql，具体为什么我也不太清楚 2019-5-26 00:14 0
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 27 关注私信	zplusplus 1 3 楼你的参数不对，需要仔细读下MSDN中KeWaitForSingleObject的说明，当KEVENT在栈上开辟的时候Alertable需要设置为FALSE。 KEVENT是在别的地方初始化的，那么要保证存储KEVENT的内存是NonPage类型。 2019-5-27 11:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复