首页
社区
课程
招聘
驱动被莫名其妙的卸载掉
发表于: 2022-6-21 23:04 6819

驱动被莫名其妙的卸载掉

2022-6-21 23:04
6819

首选驱动在我的几个虚拟机里都正常工作 在客户端的机器上 当驱动调用者进程结束后驱动莫名其妙被系统自动卸载了
从而触发DRIVER_UNLOADED_WITHOUT_CANCELLING_PENDING_OPERATIONS 蓝屏 因为我做了object hook 和内核线程扫描 并且我禁止卸载驱动所以没有写 清楚这些工作的代码

 

我没有任何地方进行卸载驱动的操作 这是为啥呢调用者结束的时候 驱动就自动卸载了 通信采用的ioctl


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 3
支持
分享
最新回复 (15)
雪    币: 463
活跃值: (1186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
你是传奇的驱动么?
2022-6-22 17:07
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
3
你是传奇的驱动么?
2022-6-22 17:21
0
雪    币: 210
活跃值: (1707)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
你是传奇的驱动么?
2022-6-22 17:50
0
雪    币: 283
活跃值: (998)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
醉後的温柔 你是传奇的驱动么?
不是 自己写的反作弊
2022-6-22 18:05
0
雪    币: 1525
活跃值: (3422)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
你是传奇的GK驱动么?
2022-6-22 18:53
0
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
7
环境是网吧是吧?
2022-6-22 22:55
0
雪    币: 463
活跃值: (1186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
tmflxw 你是传奇的GK驱动么?
传奇的我直接干掉所有驱动
2022-6-23 22:11
0
雪    币: 463
活跃值: (1186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
zhangheil 不是 自己写的反作弊
你的是传奇行业还是在网吧使用的?
2022-6-23 22:11
0
雪    币: 283
活跃值: (998)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
hzqst 环境是网吧是吧?
不是 
2022-6-23 22:23
0
雪    币: 283
活跃值: (998)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
醉後的温柔 你的是传奇行业还是在网吧使用的?
我就是自己写个反作弊 object 钩子和扫描个句柄表 一开始好好的 后来修复的过程中我加了啥 函数 导致在有些电脑上 驱动加载上去没问题 不蓝屏 也能正常工作 但是当调用者进程结束的时候 驱动就被强制卸载了 但是因为钩子和线程没有摘除和停止 导致执行到错误内存地址触发了蓝屏 dump里也可以看到 驱动是unload的状态
2022-6-23 22:27
0
雪    币: 283
活跃值: (998)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
hzqst 环境是网吧是吧?
我就是自己写个反作弊 object 钩子和扫描个句柄表 一开始好好的 后来修复的过程中我加了啥 函数 导致在有些电脑上 驱动加载上去没问题 不蓝屏 也能正常工作 但是当调用者进程结束的时候 驱动就被强制卸载了 但是因为钩子和线程没有摘除和停止 导致执行到错误内存地址触发了蓝屏 dump里也可以看到 驱动是unload的状态
2022-6-23 22:29
0
雪    币: 463
活跃值: (1186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
加我QQ  6220414  我给你个签名你看看吧
2022-6-24 01:08
0
雪    币: 463
活跃值: (1186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
tmflxw 你是传奇的GK驱动么?
你玩传奇驱动哦?
2022-6-24 01:10
0
雪    币: 283
活跃值: (998)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
1
2022-6-29 12:26
0
雪    币: 7559
活跃值: (5397)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
16
我估计是这样,你服务注册启动驱动->程序打开了驱动设备(一直不关闭)->卸载驱动服务(因为设备对象被占用,驱动一直在等待卸载状态,知道你程序退出的瞬间,就完成卸载驱动了.).
检查错误,你就取检查安装服务器,卸载服务那一块代码就差不多了.
程序退出蓝屏问题,你就去检查驱动unload的代码,把改还原的数据还原,钩子卸载就几把OK了.
一劳永逸,不想弄,直接驱动unload=null.
2022-6-29 16:27
0
游客
登录 | 注册 方可回帖
返回
//