[求助]求助,去掉DbgBreakPoint函数会导致蓝屏报错-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]求助,去掉DbgBreakPoint函数会导致蓝屏报错

发表于: 2021-6-29 22:30 6339

[求助]求助,去掉DbgBreakPoint函数会导致蓝屏报错

ashLL

活跃值

2021-6-29 22:30

6339

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#系统内核 #驱动开发 #HOOK/注入 #开发技巧

收藏・1

免费・1

支持

分享

最新回复 (17)
ashLL 雪币： 399 活跃值： (4117) 能力值： ( LV3，RANK：35 ) 在线值：发帖 8 回帖 33 粉丝 6 关注私信	ashLL 2 楼错误原因是ObReferenceObjectByHandle导致的,但是还没有发现原因 2021-6-30 10:49 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 3 楼双机调下，看下pEprocess的值是个什么状态 2021-6-30 11:24 0
ashLL 雪币： 399 活跃值： (4117) 能力值： ( LV3，RANK：35 ) 在线值：发帖 8 回帖 33 粉丝 6 关注私信	ashLL 4 楼萌克力双机调下，看下pEprocess的值是个什么状态这是我在调试状态下,获取的内核对象信息 kd> dt _EPROCESS 0x86ba6030 mssmbios!_EPROCESS +0x000 Pcb : _KPROCESS +0x098 ProcessLock : _EX_PUSH_LOCK +0x0a0 CreateTime : _LARGE_INTEGER 0x1d76cfd`0af4f532 +0x0a8 ExitTime : _LARGE_INTEGER 0x0 +0x0b0 RundownProtect : _EX_RUNDOWN_REF +0x0b4 UniqueProcessId : 0x00000b04 Void +0x0b8 ActiveProcessLinks : _LIST_ENTRY [ 0x885b5270 - 0x885aa3b0 ] +0x0c0 ProcessQuotaUsage : [2] 0x2b48 +0x0c8 ProcessQuotaPeak : [2] 0x2e7c +0x0d0 CommitCharge : 0x997 +0x0d4 QuotaBlock : 0x87e9f3c0 _EPROCESS_QUOTA_BLOCK +0x0d8 CpuQuotaBlock : (null) +0x0dc PeakVirtualSize : 0xc9f3000 +0x0e0 VirtualSize : 0xc35b000 +0x0e4 SessionProcessLinks : _LIST_ENTRY [ 0x88602e24 - 0x88564604 ] +0x0ec DebugPort : (null) +0x0f0 ExceptionPortData : 0x87e73048 Void +0x0f0 ExceptionPortValue : 0x87e73048 +0x0f0 ExceptionPortState : 0y000 +0x0f4 ObjectTable : 0x98dd30a8 _HANDLE_TABLE +0x0f8 Token : _EX_FAST_REF +0x0fc WorkingSetPage : 0x20541 +0x100 AddressCreationLock : _EX_PUSH_LOCK +0x104 RotateInProgress : (null) +0x108 ForkInProgress : (null) +0x10c HardwareTrigger : 0 +0x110 PhysicalVadRoot : (null) +0x114 CloneRoot : (null) +0x118 NumberOfPrivatePages : 0x726 +0x11c NumberOfLockedPages : 0 +0x120 Win32Process : 0xfe706008 Void +0x124 Job : (null) +0x128 SectionObject : 0x9bf4e380 Void +0x12c SectionBaseAddress : 0x013a0000 Void +0x130 Cookie : 0xebbe17e1 +0x134 Spare8 : 0 +0x138 WorkingSetWatch : (null) +0x13c Win32WindowStation : 0x0000002c Void +0x140 InheritedFromUniqueProcessId : 0x000005a0 Void +0x144 LdtInformation : (null) +0x148 VdmObjects : (null) +0x14c ConsoleHostProcess : 0 +0x150 DeviceMap : 0x92267a38 Void +0x154 EtwDataSource : 0x88027c68 Void +0x158 FreeTebHint : 0x7ffd9000 Void +0x160 PageDirectoryPte : _HARDWARE_PTE_X86 +0x160 Filler : 0 +0x168 Session : 0x9184a000 Void +0x16c ImageFileName : [15] "A???" +0x17b PriorityClass : 0x2 '' +0x17c JobLinks : _LIST_ENTRY [ 0x0 - 0x0 ] +0x184 LockedPagesList : (null) +0x188 ThreadListHead : _LIST_ENTRY [ 0x86ba6768 - 0x882456b0 ] +0x190 SecurityPort : (null) +0x194 PaeTop : 0x875bd5e0 Void +0x198 ActiveThreads : 0xa +0x19c ImagePathHash : 0x37e44fb4 +0x1a0 DefaultHardErrorProcessing : 1 +0x1a4 LastThreadExitStatus : 0n0 +0x1a8 Peb : 0x7ffde000 _PEB +0x1ac PrefetchTrace : _EX_FAST_REF +0x1b0 ReadOperationCount : _LARGE_INTEGER 0xf9 +0x1b8 WriteOperationCount : _LARGE_INTEGER 0x60d +0x1c0 OtherOperationCount : _LARGE_INTEGER 0x385 +0x1c8 ReadTransferCount : _LARGE_INTEGER 0x3407fa +0x1d0 WriteTransferCount : _LARGE_INTEGER 0xc29a +0x1d8 OtherTransferCount : _LARGE_INTEGER 0x1f62 +0x1e0 CommitChargeLimit : 0 +0x1e4 CommitChargePeak : 0x99c +0x1e8 AweInfo : (null) +0x1ec SeAuditProcessCreationInfo : _SE_AUDIT_PROCESS_CREATION_INFO +0x1f0 Vm : _MMSUPPORT +0x25c MmProcessLinks : _LIST_ENTRY [ 0x885b5414 - 0x885aa554 ] +0x264 HighestUserAddress : 0x7fff0000 Void +0x268 ModifiedPageCount : 0xe +0x26c Flags2 : 0xd000 +0x26c JobNotReallyActive : 0y0 +0x26c AccountingFolded : 0y0 +0x26c NewProcessReported : 0y0 +0x26c ExitProcessReported : 0y0 +0x26c ReportCommitChanges : 0y0 +0x26c LastReportMemory : 0y0 +0x26c ReportPhysicalPageChanges : 0y0 +0x26c HandleTableRundown : 0y0 +0x26c NeedsHandleRundown : 0y0 +0x26c RefTraceEnabled : 0y0 +0x26c NumaAware : 0y0 +0x26c ProtectedProcess : 0y0 +0x26c DefaultPagePriority : 0y101 +0x26c PrimaryTokenFrozen : 0y1 +0x26c ProcessVerifierTarget : 0y0 +0x26c StackRandomizationDisabled : 0y0 +0x26c AffinityPermanent : 0y0 +0x26c AffinityUpdateEnable : 0y0 +0x26c PropagateNode : 0y0 +0x26c ExplicitAffinity : 0y0 +0x270 Flags : 0x144d0801 +0x270 CreateReported : 0y1 +0x270 NoDebugInherit : 0y0 +0x270 ProcessExiting : 0y0 +0x270 ProcessDelete : 0y0 +0x270 Wow64SplitPages : 0y0 +0x270 VmDeleted : 0y0 +0x270 OutswapEnabled : 0y0 +0x270 Outswapped : 0y0 +0x270 ForkFailed : 0y0 +0x270 Wow64VaSpace4Gb : 0y0 +0x270 AddressSpaceInitialized : 0y10 +0x270 SetTimerResolution : 0y0 +0x270 BreakOnTermination : 0y0 +0x270 DeprioritizeViews : 0y0 +0x270 WriteWatch : 0y0 +0x270 ProcessInSession : 0y1 +0x270 OverrideAddressSpace : 0y0 +0x270 HasAddressSpace : 0y1 +0x270 LaunchPrefetched : 0y1 +0x270 InjectInpageErrors : 0y0 +0x270 VmTopDown : 0y0 +0x270 ImageNotifyDone : 0y1 +0x270 PdeUpdateNeeded : 0y0 +0x270 VdmAllowed : 0y0 +0x270 CrossSessionCreate : 0y0 +0x270 ProcessInserted : 0y1 +0x270 DefaultIoPriority : 0y010 +0x270 ProcessSelfDelete : 0y0 +0x270 SetTimerResolutionLink : 0y0 +0x274 ExitStatus : 0n259 +0x278 VadRoot : _MM_AVL_TABLE +0x298 AlpcContext : _ALPC_PROCESS_CONTEXT +0x2a8 TimerResolutionLink : _LIST_ENTRY [ 0x0 - 0x0 ] +0x2b0 RequestedTimerResolution : 0 +0x2b4 ActiveThreadsHighWatermark : 0xa +0x2b8 SmallestTimerResolution : 0 +0x2bc TimerResolutionStackRecord : (null) 2021-6-30 13:35 0
0xC5 雪币： 3297 活跃值： (5395) 能力值： ( LV6，RANK：92 ) 在线值：发帖 7 回帖 71 粉丝 43 关注私信	0xC5 1 5 楼某个指针类型的参数填错了，自己看吧 2021-6-30 16:20 0
ashLL 雪币： 399 活跃值： (4117) 能力值： ( LV3，RANK：35 ) 在线值：发帖 8 回帖 33 粉丝 6 关注私信	ashLL 6 楼 0xC5 某个指针类型的参数填错了，自己看吧可以告知一下吗,这个函数每个参数都改了一遍了,还是不行 2021-6-30 16:32 0
LexSafe 雪币： 2325 活跃值： (2304) 能力值： ( LV6，RANK：89 ) 在线值：发帖 0 回帖 126 粉丝 5 关注私信	LexSafe 7 楼带着DbgBreakPoint就不蓝屏了吗 2021-6-30 16:34 0
ashLL 雪币： 399 活跃值： (4117) 能力值： ( LV3，RANK：35 ) 在线值：发帖 8 回帖 33 粉丝 6 关注私信	ashLL 8 楼 LexSafe 带着DbgBreakPoint就不蓝屏了吗对的,所以说很奇怪 2021-6-30 16:35 0
TopC 雪币： 6977 活跃值： (1786) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 225 粉丝 10 关注私信	TopC 9 楼 Status = ObReferenceObjectByHandle (processHandle, PROCESS_QUERY_INFORMATION, *PsProcessType, KernelMode, &pEprocess, NULL); 应该是这个写法，不知道你这个processhandle哪来的，dump分析截图不全最后于 2021-6-30 17:06 被TopC编辑，原因： 2021-6-30 17:02 0
0xC5 雪币： 3297 活跃值： (5395) 能力值： ( LV6，RANK：92 ) 在线值：发帖 7 回帖 71 粉丝 43 关注私信	0xC5 1 10 楼 AshCrimson 可以告知一下吗,这个函数每个参数都改了一遍了,还是不行[em_5] 首先，你只是定义了一个指向eprocess的指针，没有分配内存空间让函数写入获取信息，其次函数要求填的是指向对象的指针，你参数填了个二级指针 2021-6-30 17:02 0
ashLL 雪币： 399 活跃值： (4117) 能力值： ( LV3，RANK：35 ) 在线值：发帖 8 回帖 33 粉丝 6 关注私信	ashLL 11 楼 0xC5 首先，你只是定义了一个指向eprocess的指针，没有分配内存空间让函数写入获取信息，其次函数要求填的是指向对象的指针，你参数填了个二级指针不是这个原因还是,蓝屏,我看了下我hook的函数的源码,它这里也是有一个中断的 2021-6-30 17:25 0
ashLL 雪币： 399 活跃值： (4117) 能力值： ( LV3，RANK：35 ) 在线值：发帖 8 回帖 33 粉丝 6 关注私信	ashLL 12 楼是不是因为IRQL的原因啊 2021-6-30 17:27 0
TopC 雪币： 6977 活跃值： (1786) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 225 粉丝 10 关注私信	TopC 13 楼 0xC5 首先，你只是定义了一个指向eprocess的指针，没有分配内存空间让函数写入获取信息，其次函数要求填的是指向对象的指针，你参数填了个二级指针这个函数本来就是填个二级指针带回数据 2021-6-30 17:27 0
ashLL 雪币： 399 活跃值： (4117) 能力值： ( LV3，RANK：35 ) 在线值：发帖 8 回帖 33 粉丝 6 关注私信	ashLL 14 楼这个提示要不要修改下IRQL 2021-6-30 17:32 0
ashLL 雪币： 399 活跃值： (4117) 能力值： ( LV3，RANK：35 ) 在线值：发帖 8 回帖 33 粉丝 6 关注私信	ashLL 15 楼 TopC         Status =&am ... processHandle是从NtDebugActiveProcess拿到的,我觉得是因为IRQL有点问题,我即使照着源码写,如果不处于调试状态,依然会出错,好烦 2021-6-30 20:44 0
TopC 雪币： 6977 活跃值： (1786) 能力值： ( LV3，RANK：30 ) 在线值：发帖 10 回帖 225 粉丝 10 关注私信	TopC 16 楼问题解决了吗？我在网上找到这么一句： Callers of ObReferenceObjectByHandle must be running at IRQL = PASSIVE_LEVEL. 崩溃的时候 !pcr 看看irql是什么？ 2021-7-1 13:32 0
ashLL 雪币： 399 活跃值： (4117) 能力值： ( LV3，RANK：35 ) 在线值：发帖 8 回帖 33 粉丝 6 关注私信	ashLL 17 楼 TopC 问题解决了吗？我在网上找到这么一句： Callers of ObReferenceObjectByHandle must be running at IRQL = PASSIVE_LEVEL. ... 还没有,出错的时候IRQL=2 2021-7-1 17:29 0
ashLL 雪币： 399 活跃值： (4117) 能力值： ( LV3，RANK：35 ) 在线值：发帖 8 回帖 33 粉丝 6 关注私信	ashLL 18 楼那我降低一下IRQL等级,看看 2021-7-1 17:29 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

ashLL

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//