首页
社区
课程
招聘
未解决 [求助]用户态线程在VT设置MTF之后,捕获下次MTF事件发现指令并不是指向下一条
发表于: 2020-4-3 10:25 2720

未解决 [求助]用户态线程在VT设置MTF之后,捕获下次MTF事件发现指令并不是指向下一条

2020-4-3 10:25
2720
用户态线程产生软件断点后,被VT捕获,VT中删除该断点(我已确认删除成功)恢复原始代码,并设置MTF,当下次MTF事件捕获到时,发现当前rip并不是刚刚断下的下一个指令,我用windbg看是在Hal.dll里面的一个内核空间的地址,符号是HalpKInterruptHeap+0xXXX,看上去像是中断事件,(我通过windbg确认这个线程和之前那个是同一个线程),恳请大神指教,本人实验需要,十分感谢!
我个人的猜想是,由于这个线程的时间片段到了(因为中间进入了VT消耗了很多事件,所以导致时间片段用完了),操作系统要切换线程了,所以使用中断切换线程,但是我对windows线程切换 多线程实现 不是很了解,正在学习。
希望得到大佬们的提示,感谢帮助!

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (5)
雪    币: 70
活跃值: (1412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
遇到时钟了, windbg调试 基本都会是时钟
2020-4-3 10:50
0
雪    币: 3
活跃值: (48)
能力值: ( LV4,RANK:49 )
在线值:
发帖
回帖
粉丝
3
mknanren 遇到时钟了, windbg调试 基本都会是时钟
请问怎么临时关闭这个时钟呢,我想在设置mtf的时候屏蔽这个时钟,然后让客户端把那个指令执行完,触发mtf回到vt把中断在打开,,或者不关闭让他暂时无效把那条指令执行了就行。。
2020-4-3 11:09
0
雪    币: 3
活跃值: (48)
能力值: ( LV4,RANK:49 )
在线值:
发帖
回帖
粉丝
4
mknanren 遇到时钟了, windbg调试 基本都会是时钟
大神你好,我刚刚关了windbg,打印了一下日志,发现他按照我预期的执行了,没有进入中断,请问这是为什么呀,但是我觉得还是有可能会进入中断的。。
2020-4-3 11:30
0
雪    币: 70
活跃值: (1412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
神雕大侠X 大神你好,我刚刚关了windbg,打印了一下日志,发现他按照我预期的执行了,没有进入中断,请问这是为什么呀,但是我觉得还是有可能会进入中断的。。
时钟中断,怎么可能关。 正常执行有几率进入,调试执行有很大的几率
2020-4-8 10:02
0
雪    币: 302
活跃值: (246)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
6
用Int 3 + Guest Rip不行吗
2020-5-3 17:04
0
游客
登录 | 注册 方可回帖
返回
//