[原创]驱动通讯方式：在x64程序中返回到32位环境触发bound异常，通过BoundCallback注册回调进行通讯-编程技术-看雪安全社区

最新回复 (11)
Mashiro~ 雪币： 507 活跃值： (771) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 30 关注私信	Mashiro~ 2 楼驱动界又要腥风血雨了 2025-11-29 21:27 0
iaoedsz2018 雪币： 3630 活跃值： (4377) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 83 粉丝 5 关注私信	iaoedsz2018 3 楼这可太骚了 2025-11-30 01:12 0
木志本柯雪币： 5687 活跃值： (6679) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 398 粉丝 6 关注私信	木志本柯 4 楼我发现如果SetThreadContext是64位程序调用的，去设置一个32位程序的context比如修改rip，这个时候目标32位程序的线程行为就会变成64位的，比如32位程序在执行call的时候就会压入8字节。还有push eax会像push rax一样压入8字节。 2025-11-30 11:51 0
轻装前行雪币： 654 活跃值： (3052) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 112 粉丝 0 关注私信	轻装前行 5 楼不明觉厉 2025-11-30 14:55 0
啊你好哇123 雪币： 243 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 230 粉丝 0 关注私信	啊你好哇123 6 楼这个回调要是被早早的注册的话是不是就检测到了 2025-12-1 22:39 0
mb_urzqsoer 雪币： 206 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 65 粉丝 0 关注私信	mb_urzqsoer 7 楼预启动把你看得清清楚楚 2025-12-2 03:29 1
Saileaxh 雪币： 1337 活跃值： (1086) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 11 粉丝 18 关注私信	Saileaxh 8 楼啊你好哇123 这个回调要是被早早的注册的话是不是就检测到了文中提到，系统中同时只允许存在一个bound异常回调，就算有人提前注册了，也不能像注册表回调一样监控后注册（层级更低）的回调 2025-12-2 11:47 0
Saileaxh 雪币： 1337 活跃值： (1086) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 11 粉丝 18 关注私信	Saileaxh 9 楼 mb_urzqsoer 预启动把你看得清清楚楚整个KeRegisterBoundCallback路径中没有任何事件点位，不知你的观点从何而来。想要针对检测肯定有办法，但是跟预启动没任何关系。最后于 2025-12-2 11:49 被Saileaxh编辑，原因： 2025-12-2 11:47 0
周旋久雪币： 1130 活跃值： (1581) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 19 粉丝 40 关注私信	周旋久 10 楼 Saileaxh 文中提到，系统中同时只允许存在一个bound异常回调，就算有人提前注册了，也不能像注册表回调一样监控后注册（层级更低）的回调只能提前注册占坑，没法做到感知吗？ 2025-12-2 13:29 0
Saileaxh 雪币： 1337 活跃值： (1086) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 11 粉丝 18 关注私信	Saileaxh 11 楼周旋久只能提前注册占坑，没法做到感知吗？一旦任何驱动注册过一次boundcallback，其他驱动通过常规的方法就不能再注册，也无法取消之前驱动注册的 2025-12-2 17:41 0
milko 雪币： 1486 活跃值： (2246) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 6 关注私信	milko 12 楼 mark 2025-12-5 08:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
Mashiro~ 雪币： 507 活跃值： (771) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 30 关注私信	Mashiro~ 2 楼驱动界又要腥风血雨了 2025-11-29 21:27 0
iaoedsz2018 雪币： 3630 活跃值： (4377) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 83 粉丝 5 关注私信	iaoedsz2018 3 楼这可太骚了 2025-11-30 01:12 0
木志本柯雪币： 5687 活跃值： (6679) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 398 粉丝 6 关注私信	木志本柯 4 楼我发现如果SetThreadContext是64位程序调用的，去设置一个32位程序的context比如修改rip，这个时候目标32位程序的线程行为就会变成64位的，比如32位程序在执行call的时候就会压入8字节。还有push eax会像push rax一样压入8字节。 2025-11-30 11:51 0
轻装前行雪币： 654 活跃值： (3052) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 112 粉丝 0 关注私信	轻装前行 5 楼不明觉厉 2025-11-30 14:55 0
啊你好哇123 雪币： 243 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 230 粉丝 0 关注私信	啊你好哇123 6 楼这个回调要是被早早的注册的话是不是就检测到了 2025-12-1 22:39 0
mb_urzqsoer 雪币： 206 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 65 粉丝 0 关注私信	mb_urzqsoer 7 楼预启动把你看得清清楚楚 2025-12-2 03:29 1
Saileaxh 雪币： 1337 活跃值： (1086) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 11 粉丝 18 关注私信	Saileaxh 8 楼啊你好哇123 这个回调要是被早早的注册的话是不是就检测到了文中提到，系统中同时只允许存在一个bound异常回调，就算有人提前注册了，也不能像注册表回调一样监控后注册（层级更低）的回调 2025-12-2 11:47 0
Saileaxh 雪币： 1337 活跃值： (1086) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 11 粉丝 18 关注私信	Saileaxh 9 楼 mb_urzqsoer 预启动把你看得清清楚楚整个KeRegisterBoundCallback路径中没有任何事件点位，不知你的观点从何而来。想要针对检测肯定有办法，但是跟预启动没任何关系。最后于 2025-12-2 11:49 被Saileaxh编辑，原因： 2025-12-2 11:47 0
周旋久雪币： 1130 活跃值： (1581) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 19 粉丝 40 关注私信	周旋久 10 楼 Saileaxh 文中提到，系统中同时只允许存在一个bound异常回调，就算有人提前注册了，也不能像注册表回调一样监控后注册（层级更低）的回调只能提前注册占坑，没法做到感知吗？ 2025-12-2 13:29 0
Saileaxh 雪币： 1337 活跃值： (1086) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 11 粉丝 18 关注私信	Saileaxh 11 楼周旋久只能提前注册占坑，没法做到感知吗？一旦任何驱动注册过一次boundcallback，其他驱动通过常规的方法就不能再注册，也无法取消之前驱动注册的 2025-12-2 17:41 0
milko 雪币： 1486 活跃值： (2246) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 73 粉丝 6 关注私信	milko 12 楼 mark 2025-12-5 08:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复