首页
社区
课程
招聘
[求助]一个IDT hook的问题
发表于: 2008-1-13 16:38 5973

[求助]一个IDT hook的问题

2008-1-13 16:38
5973
今天写了一个Hook IDT的程序,但是一执行就蓝屏,出来的错误号是D1,查了下资料,是由于在DISPATCH或都更高级别上访问了分页的内存,错误地址正好是我用来替代IDT的那个函数的地址,
驱动不是以非分页方式加载的吗?怎么会出现这种错误呢?
郁闷一天了,试了N次,机器也蓝屏了N次!
哪位高人若知道其原由,还望指教
先谢了

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (6)
雪    币: 163
活跃值: (60)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
2
用windbg加载dump文件,再把!analyze -v的输出贴上来
2008-1-14 09:05
0
雪    币: 248
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high.  This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: f7a9f399, memory referenced
Arg2: 000000ff, IRQL
Arg3: 00000008, value 0 = read operation, 1 = write operation
Arg4: f7a9f399, address which referenced memory

Debugging Details:
------------------

READ_ADDRESS:  f7a9f399

CURRENT_IRQL:  ff

FAULTING_IP:
apic+399
f7a9f399 ??              ???

CUSTOMER_CRASH_COUNT:  5

DEFAULT_BUCKET_ID:  COMMON_SYSTEM_FAULT

BUGCHECK_STR:  0xD1

PROCESS_NAME:  Idle

IP_MODULE_UNLOADED:
apic+399
f7a9f399 ??              ???

LAST_CONTROL_TRANSFER:  from 80541ee2 to f7a9f399

FAILED_INSTRUCTION_ADDRESS:
apic+399
f7a9f399 ??              ???

STACK_TEXT:  
WARNING: Frame IP not in any known module. Following frames may be wrong.
8054a048 80541ee2 00000008 00000202 00000000 <Unloaded_apic.sys>+0x399
8054a04c 00000000 00000202 00000000 0000000e nt!KiIdleLoop+0x12

STACK_COMMAND:  kb

FOLLOWUP_IP:
apic+399
f7a9f399 ??              ???

SYMBOL_STACK_INDEX:  0

SYMBOL_NAME:  apic+399

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: apic

IMAGE_NAME:  apic.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  0

FAILURE_BUCKET_ID:  0xD1_CODE_AV_BAD_IP_apic+399

BUCKET_ID:  0xD1_CODE_AV_BAD_IP_apic+399

Followup: MachineOwner
---------
2008-1-14 10:14
0
雪    币: 248
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
老Y,还在吗?帮忙分析下!非常感激
2008-1-14 14:06
0
雪    币: 248
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
自己顶下....
2008-1-15 16:54
0
雪    币: 248
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
再次顶下...
2008-1-16 16:13
0
雪    币: 248
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
问题依然没有解决,再再次顶下
2008-1-17 22:16
0
游客
登录 | 注册 方可回帖
返回
//