[求助] 读取PEB中数据蓝屏问题-求助问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 2 楼 em……这应该是驱动吧，不妨试试，读这个sessionid之前，再读点peb的其他字段，看看是就session这个字段有问题还是别的字段也有问题。感觉会不会是有其他驱动改了？比如你的驱动probeforread了是可读的，之后很快的瞬间正好我的驱动某个操作设置为不可读了，然后你的又读就炸？ 2019-10-28 19:04 1
成啊水雪币： 13 活跃值： (402) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 84 粉丝 0 关注私信	成啊水 3 楼没有了最后于 2019-10-31 13:03 被成啊水编辑，原因： 2019-10-31 13:03 0
MSGG05 雪币： 6874 活跃值： (3449) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 2 关注私信	MSGG05 4 楼白菜大哥 em……这应该是驱动吧，不妨试试，读这个sessionid之前，再读点peb的其他字段，看看是就session这个字段有问题还是别的字段也有问题。感觉会不会是有其他驱动改了？比如你的驱动probe ... 调用probeforread传递的长度本身也就是peb头部到sessionid信息的长度，在dump中查看peb的信息的话，基本上所有信息都是无法读取的。 2019-11-7 17:24 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 5 楼 MSGG05 调用probeforread传递的长度本身也就是peb头部到sessionid信息的长度，在dump中查看peb的信息的话，基本上所有信息都是无法读取的。 minidump文件查看不了peb的话……em，要不试试这样吧，你查看一下有哪些模块，看看用户安装了一些啥软件，也包括开放了哪些端口（尤其是打印机共享之类的），然后你虚拟机装1809，并且安装上用户同样的那些软件。这样挂调试器调试吧。然后自己写个按键精灵脚本，疯狂的打开关闭虚拟机里面的程序。最后于 2019-11-7 19:20 被白菜大哥编辑，原因： 2019-11-7 19:19 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 6 楼虽然不清楚你这个是什么原因，但是我有个朋友的系统有个奇怪的现象，可能和你的问题有关。在他的系统上，有进程崩溃后，进程不会完全关闭，而是处于暂停状态。在任务管理器的“详细信息”中看不到崩溃的进程，但是可以在“性能”的“打开资源监视器”中看到崩溃的进程，且状态为“已暂停”，无法直接结束。通过代码仍然可以遍历到这个进程，但OpenProcess、读取PEB之类的操作都会出错。解决方法也很简单，判断一下这个进程状态是否是已暂停即可。。希望能帮到你。最后于 2019-11-7 20:05 被Sprite雪碧编辑，原因： 2019-11-7 20:04 0
MSGG05 雪币： 6874 活跃值： (3449) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 2 关注私信	MSGG05 7 楼感谢指导，感觉确实跟我遇到的这个情况有些类似。我又查看这个进程的EPROCESS结构信息，其中的ProcessExit与ProcessDelete值也都是1，暂时改变了获取SessionId的方式，用未公开的PsGetProcessSessionId来获取EPROCESS里的了，起码从dump看EPROCESS里的还是正常的，目前等反馈结果中。 2019-11-9 08:52 1
karennel 雪币： 21 活跃值： (198) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	karennel 8 楼出问题的机器不方便调试，你搞得什么外卦？？ 2019-12-5 18:11 0
MSGG05 雪币： 6874 活跃值： (3449) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 2 关注私信	MSGG05 9 楼 karennel 出问题的机器不方便调试，你搞得什么外卦？？很简单啊，出现问题的是客户现场机器也不是我自己的机器。 2019-12-6 09:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 2 楼 em……这应该是驱动吧，不妨试试，读这个sessionid之前，再读点peb的其他字段，看看是就session这个字段有问题还是别的字段也有问题。感觉会不会是有其他驱动改了？比如你的驱动probeforread了是可读的，之后很快的瞬间正好我的驱动某个操作设置为不可读了，然后你的又读就炸？ 2019-10-28 19:04 1
成啊水雪币： 13 活跃值： (402) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 84 粉丝 0 关注私信	成啊水 3 楼没有了最后于 2019-10-31 13:03 被成啊水编辑，原因： 2019-10-31 13:03 0
MSGG05 雪币： 6874 活跃值： (3449) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 2 关注私信	MSGG05 4 楼白菜大哥 em……这应该是驱动吧，不妨试试，读这个sessionid之前，再读点peb的其他字段，看看是就session这个字段有问题还是别的字段也有问题。感觉会不会是有其他驱动改了？比如你的驱动probe ... 调用probeforread传递的长度本身也就是peb头部到sessionid信息的长度，在dump中查看peb的信息的话，基本上所有信息都是无法读取的。 2019-11-7 17:24 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 5 楼 MSGG05 调用probeforread传递的长度本身也就是peb头部到sessionid信息的长度，在dump中查看peb的信息的话，基本上所有信息都是无法读取的。 minidump文件查看不了peb的话……em，要不试试这样吧，你查看一下有哪些模块，看看用户安装了一些啥软件，也包括开放了哪些端口（尤其是打印机共享之类的），然后你虚拟机装1809，并且安装上用户同样的那些软件。这样挂调试器调试吧。然后自己写个按键精灵脚本，疯狂的打开关闭虚拟机里面的程序。最后于 2019-11-7 19:20 被白菜大哥编辑，原因： 2019-11-7 19:19 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 6 楼虽然不清楚你这个是什么原因，但是我有个朋友的系统有个奇怪的现象，可能和你的问题有关。在他的系统上，有进程崩溃后，进程不会完全关闭，而是处于暂停状态。在任务管理器的“详细信息”中看不到崩溃的进程，但是可以在“性能”的“打开资源监视器”中看到崩溃的进程，且状态为“已暂停”，无法直接结束。通过代码仍然可以遍历到这个进程，但OpenProcess、读取PEB之类的操作都会出错。解决方法也很简单，判断一下这个进程状态是否是已暂停即可。。希望能帮到你。最后于 2019-11-7 20:05 被Sprite雪碧编辑，原因： 2019-11-7 20:04 0
MSGG05 雪币： 6874 活跃值： (3449) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 2 关注私信	MSGG05 7 楼感谢指导，感觉确实跟我遇到的这个情况有些类似。我又查看这个进程的EPROCESS结构信息，其中的ProcessExit与ProcessDelete值也都是1，暂时改变了获取SessionId的方式，用未公开的PsGetProcessSessionId来获取EPROCESS里的了，起码从dump看EPROCESS里的还是正常的，目前等反馈结果中。 2019-11-9 08:52 1
karennel 雪币： 21 活跃值： (198) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	karennel 8 楼出问题的机器不方便调试，你搞得什么外卦？？ 2019-12-5 18:11 0
MSGG05 雪币： 6874 活跃值： (3449) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 2 关注私信	MSGG05 9 楼 karennel 出问题的机器不方便调试，你搞得什么外卦？？很简单啊，出现问题的是客户现场机器也不是我自己的机器。 2019-12-6 09:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

未解决 [求助] 读取PEB中数据蓝屏问题