-
-
记一次逆向学习时碰到的错误
-
发表于: 2021-7-4 21:58
-
最近以学习为目的看了下360Hvm驱动,看到了这么一段逻辑代码
乍一看没问题,就是判断KTHREAD+0x78的第0x13位是否为1.然后决定要不要使用KeServiceDescriptorTableFilter
这一段大家应该都很熟悉,系统调用里比较关键的地方就是这么判断的。见下图(截自Win10 1909 KiSystemCall64Shadow)
两处一对比,就可以明显的发现一个问题,系统调用判断的是第21位,而hvm驱动判断的是0x13也就是第19位。
刚开始一度怀疑是版本不同。hvm判断的是大于10586也就是Windows 10(1511)
但是后来对比了多个系统的KTHREAD后得出一个结论,这里应该是写错了。。第21位才对。
算是发现了个小错误,请官方留意下,尽早修复。
技术有限,如有错误,请指出,谢谢。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
