[求助]学习系统调用时遇到了一个问题，关于在KiSystemCall64中设置断点-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 2 楼 ba e1 KiSystemCall64+3 2020-12-27 20:05 0
vblank 雪币： 1469 活跃值： (440) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 0 关注私信	vblank 3 楼跟PG应该没啥关系，挂着windbg启动时PG自动被禁用 2020-12-27 20:32 0
mb_ttxlfvwe 雪币： 0 活跃值： (300) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	mb_ttxlfvwe 4 楼 ookkaa ba e1 KiSystemCall64+3 测试了两个虚拟机，一个没有反应一个会爆蓝屏，都是win10 最后于 2020-12-27 20:35 被mb_ttxlfvwe编辑，原因： 2020-12-27 20:34 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 5 楼 nt!KiSystemCall64ShadowCommon: fffff802`04fcb16d 6a2b push 2Bh kd> p nt!KiSystemCall64ShadowCommon+0x2: fffff802`04fcb16f 65ff342510700000 push qword ptr gs:[7010h] kd> t nt!KiSystemCall64ShadowCommon+0xa: fffff802`04fcb177 4153 push r11 kd> t nt!KiSystemCall64ShadowCommon+0xc: fffff802`04fcb179 6a33 push 33h kd> t nt!KiSystemCall64ShadowCommon+0xe: fffff802`04fcb17b 51 push rcx 2020-12-27 20:52 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 6 楼 win10开了页表隔离要在在nt!KiSystemCall64ShadowCommon头部下断点，不然会死循环和双重错误 2020-12-27 20:54 0
mb_ttxlfvwe 雪币： 0 活跃值： (300) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	mb_ttxlfvwe 7 楼 ookkaa ba e1 KiSystemCall64+3 我这边没有这个函数，应该是没开页表隔离。又仔细研究了一下发现KiSystemCall64前三条指令是在设置内核栈，只要断点下在这三条指令之后就可以了，也就是ba e1 KiSystemCall64+15 这因为内核的调试机制需要吗，还是因为别的 2020-12-27 21:55 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa (+50.00雪花) 8 楼 mb_ttxlfvwe 我这边没有这个函数，应该是没开页表隔离。又仔细研究了一下发现KiSystemCall64前三条指令是在设置内核栈，只要断点下在这三条指令之后就可以了，也就是ba e1 KiSystemCall64 ... 刚进来的时候是三环的环境，要切换成内核栈什么的，所以打在后面的指令 2020-12-27 22:18 (+50.00雪花) 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 2 楼 ba e1 KiSystemCall64+3 2020-12-27 20:05 0
vblank 雪币： 1469 活跃值： (440) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 0 关注私信	vblank 3 楼跟PG应该没啥关系，挂着windbg启动时PG自动被禁用 2020-12-27 20:32 0
mb_ttxlfvwe 雪币： 0 活跃值： (300) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	mb_ttxlfvwe 4 楼 ookkaa ba e1 KiSystemCall64+3 测试了两个虚拟机，一个没有反应一个会爆蓝屏，都是win10 最后于 2020-12-27 20:35 被mb_ttxlfvwe编辑，原因： 2020-12-27 20:34 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 5 楼 nt!KiSystemCall64ShadowCommon: fffff802`04fcb16d 6a2b push 2Bh kd> p nt!KiSystemCall64ShadowCommon+0x2: fffff802`04fcb16f 65ff342510700000 push qword ptr gs:[7010h] kd> t nt!KiSystemCall64ShadowCommon+0xa: fffff802`04fcb177 4153 push r11 kd> t nt!KiSystemCall64ShadowCommon+0xc: fffff802`04fcb179 6a33 push 33h kd> t nt!KiSystemCall64ShadowCommon+0xe: fffff802`04fcb17b 51 push rcx 2020-12-27 20:52 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa 6 楼 win10开了页表隔离要在在nt!KiSystemCall64ShadowCommon头部下断点，不然会死循环和双重错误 2020-12-27 20:54 0
mb_ttxlfvwe 雪币： 0 活跃值： (300) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	mb_ttxlfvwe 7 楼 ookkaa ba e1 KiSystemCall64+3 我这边没有这个函数，应该是没开页表隔离。又仔细研究了一下发现KiSystemCall64前三条指令是在设置内核栈，只要断点下在这三条指令之后就可以了，也就是ba e1 KiSystemCall64+15 这因为内核的调试机制需要吗，还是因为别的 2020-12-27 21:55 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 50 关注私信	ookkaa (+50.00雪花) 8 楼 mb_ttxlfvwe 我这边没有这个函数，应该是没开页表隔离。又仔细研究了一下发现KiSystemCall64前三条指令是在设置内核栈，只要断点下在这三条指令之后就可以了，也就是ba e1 KiSystemCall64 ... 刚进来的时候是三环的环境，要切换成内核栈什么的，所以打在后面的指令 2020-12-27 22:18 (+50.00雪花) 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[已解决] [求助]学习系统调用时遇到了一个问题，关于在KiSystemCall64中设置断点 50.00雪花