我按照原来的编译加载，发现蓝了

然后调试了下

发现问题了

mov eax, MyKiFastCallEntry  这句被翻译为 mv eax,dword ptr [MyKiFastCallEntry]

应该修改为 mov eax,offset MyKiFastCallEntry

大家是不是遇到一样的问题

#include "ntddk.h"

ULONG d_origKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntry

VOID OnUnload( IN PDRIVER_OBJECT DriverObject )
{
          _asm
          {
              mov ecx, 0x176
                    xor edx,edx
                    mov eax, d_origKiFastCallEntry     // Hook function address
                    wrmsr                             // Write to the IA32_SYSENTER_EIP register
            }
}

// Hook function
__declspec(naked) MyKiFastCallEntry()
{
        __asm {
                jmp [d_origKiFastCallEntry]
        }
}

NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject, IN PUNICODE_STRING theRegistryPath )
{
        theDriverObject->DriverUnload  = OnUnload;

        __asm {
        mov ecx, 0x176
                    rdmsr                          // read the value of the IA32_SYSENTER_EIP register
                    mov d_origKiFastCallEntry, eax
                    mov eax, MyKiFastCallEntry     // Hook function address
                    wrmsr                          // Write to the IA32_SYSENTER_EIP register
        }

        return STATUS_SUCCESS;
}

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法