[求助]内核apc插到32位进程无法执行-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 69 粉丝 3 关注私信	妮可 2021-6-19 07:44 2 楼 0 知道是alertable=0的问题了.按照以前@库尔说的方法.同时插2条APC,先插用户模式,再插内核模式内核模式回调里KeTestAlertThread( UserMode),确实可以执行了,但是秒蓝,只能看到windbg输出,第二条Apc改成用户模式也是蓝屏,蓝屏信息是DRIVER IRQL NOT LESS OR EQUAL,实在不知道怎么解决了只能曲线救国,枚举线程的时候判断state和alertable,但是实在是不想用硬编码
mb_aopnnvxb 雪币： 81 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	mb_aopnnvxb 2021-6-20 16:08 3 楼 0 mark 我APC也是出这个蓝屏
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 69 粉丝 3 关注私信	妮可 2021-6-20 23:16 4 楼 0 mb_aopnnvxb mark 我APC也是出这个蓝屏直接找有条件的线程插吧,然后插2条apc就可以立刻执行了
Mr.hack 雪币： 2672 活跃值： (3307) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 111 粉丝 15 关注私信	Mr.hack 2021-8-1 12:46 5 楼 0 大概率是堆栈没处理好的问题，要知道kernelruntine，normalruntine这两个成员所指的函数都不是你自己调用的，而是KiDeliverApc调用的，参数个数，有没有返回值都不是你能控制的
sqdwr 雪币： 20 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	sqdwr 2021-8-2 11:22 6 楼 0 KerneRoutine都不执行可能是因为你插入的线程没有执行UserMode APC的条件，如果你把NormalRoutine设置为NULL就可以执行了是因为NormalRoutine是NULL的情况下，APC默认是特殊的KernelMode APC所以他一定有执行的机会。UserMode的需要触发条件。
mb_punpkihu 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	mb_punpkihu 2021-9-30 15:25 7 楼 0 求交流能否加个好友恰个Q或者V也行
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (6)
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 69 粉丝 3 关注私信	妮可 2021-6-19 07:44 2 楼 0 知道是alertable=0的问题了.按照以前@库尔说的方法.同时插2条APC,先插用户模式,再插内核模式内核模式回调里KeTestAlertThread( UserMode),确实可以执行了,但是秒蓝,只能看到windbg输出,第二条Apc改成用户模式也是蓝屏,蓝屏信息是DRIVER IRQL NOT LESS OR EQUAL,实在不知道怎么解决了只能曲线救国,枚举线程的时候判断state和alertable,但是实在是不想用硬编码
mb_aopnnvxb 雪币： 81 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	mb_aopnnvxb 2021-6-20 16:08 3 楼 0 mark 我APC也是出这个蓝屏
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 69 粉丝 3 关注私信	妮可 2021-6-20 23:16 4 楼 0 mb_aopnnvxb mark 我APC也是出这个蓝屏直接找有条件的线程插吧,然后插2条apc就可以立刻执行了
Mr.hack 雪币： 2672 活跃值： (3307) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 111 粉丝 15 关注私信	Mr.hack 2021-8-1 12:46 5 楼 0 大概率是堆栈没处理好的问题，要知道kernelruntine，normalruntine这两个成员所指的函数都不是你自己调用的，而是KiDeliverApc调用的，参数个数，有没有返回值都不是你能控制的
sqdwr 雪币： 20 活跃值： (111) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	sqdwr 2021-8-2 11:22 6 楼 0 KerneRoutine都不执行可能是因为你插入的线程没有执行UserMode APC的条件，如果你把NormalRoutine设置为NULL就可以执行了是因为NormalRoutine是NULL的情况下，APC默认是特殊的KernelMode APC所以他一定有执行的机会。UserMode的需要触发条件。
mb_punpkihu 雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 25 粉丝 0 关注私信	mb_punpkihu 2021-9-30 15:25 7 楼 0 求交流能否加个好友恰个Q或者V也行
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复