[求助]两个蓝死我的代码，请大家帮忙看看-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 2 楼大家都忙…… 周末愉快！ 2009-3-13 22:40 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 3 楼蓝的好，蓝完还不分析DUMP 2009-3-13 22:50 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 4 楼谢谢MJ！！！嗯，也正在学分析DUMP，显示还是和klif.sys有关。这驱动在单核CPU和双核CPU上要注意些什么呢？ 2009-3-13 22:59 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 5 楼蓝屏的可能有很多种，很多种可怕的恶心的蓝屏~~ 单双核确实不同，对于hook而言是不太一样的，至于其他的~~~ 卡巴和你冲突，必定是你搞出问题~ 2009-3-14 09:22 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 6 楼谢谢老V点评。昨天在办公室电脑上蓝屏，后来下班就没接着分析了，那台电脑是双核的。回家后在这台单核老机上想再重现蓝屏，可又正常的，就是不蓝。同样的代码，同样的KIS2009。 2009-3-14 09:37 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 7 楼没有KIS 2009呢？ IRQL错误还是POOL崩溃呢~~哎~ 2009-3-14 11:42 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 8 楼嗯，我再对照着DDK里的例子再看看。 2009-3-14 13:27 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 9 楼我在EnumProcess函数中，列举出进程名，并加入到链表，此时正常；在MyDeviceIoControl例程中，通过CONTAINING_RECORD取得链表中进程名，在用DbgPrint打印出来。问题是—— 如果关了卡巴，一切正常；如果运行卡巴，链表中某个元素地址中的数据会莫名消失了！！！好比说： “svchost.exe”这个UNICODE字符串，在EnumProcess中插入链表时，其地址在0x80001234，此时在Windbg中“db 80001234”，还能看到其字样，DbgPrint也正常；但在MyDeviceIoControl中再通过读取链表来DbgPrint，0x80001234的数据却没有了？？！！但也不是所有链表元素的数据都消失，一部分而已。这些数据哪里去了呢？ 2009-3-18 17:10 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 10 楼加锁了没，哥们~ 2009-3-18 20:38 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 11 楼没加锁~~~ 一直以为只有写多线程代码中才要用自旋锁。今晚又看了一下书，稍微有点明白了。修改了一下代码，在插入链表时使用了自旋锁。使用了ExInterlockedInsertTailList和ExInterlockedRemoveHeadList函数，最开始运行时还是老样子，出现数据丢失的情况，纳闷了一会儿，后来才知道，ExInterlockedXXX类函数不能操作分页内存的数据，而我在分配内存时使用了PagedPool，于是修改成NonPagedPool，OK了。以后还是得仔细些，尽量自己分析查找解决问题，否则一碰到问题就到论坛发问，虽然热心的朋友们都会帮忙解答，但会逐步形成惰性，终归有碍于自身的提高。谨记！再次感谢老V的指点！！！ 2009-3-19 01:00 0
bluering 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	bluering 12 楼 2009-3-19 21:00 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 13 楼哪里有问题吗？ 2009-3-19 23:21 0
uzgw 雪币： 12 活跃值： (671) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	uzgw 14 楼学习了 2022-7-12 16:26 0
uzgw 雪币： 12 活跃值： (671) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	uzgw 15 楼 aliwy 没加锁~~~ 一直以为只有写多线程代码中才要用自旋锁。今晚又看了一下书，稍微有点明白了。修改了一下代码，在插入链表时使用了自旋锁。使用了ExInterlockedInsertTailList和 ... 2022-7-12 16:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 2 楼大家都忙…… 周末愉快！ 2009-3-13 22:40 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 3 楼蓝的好，蓝完还不分析DUMP 2009-3-13 22:50 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 4 楼谢谢MJ！！！嗯，也正在学分析DUMP，显示还是和klif.sys有关。这驱动在单核CPU和双核CPU上要注意些什么呢？ 2009-3-13 22:59 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 5 楼蓝屏的可能有很多种，很多种可怕的恶心的蓝屏~~ 单双核确实不同，对于hook而言是不太一样的，至于其他的~~~ 卡巴和你冲突，必定是你搞出问题~ 2009-3-14 09:22 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 6 楼谢谢老V点评。昨天在办公室电脑上蓝屏，后来下班就没接着分析了，那台电脑是双核的。回家后在这台单核老机上想再重现蓝屏，可又正常的，就是不蓝。同样的代码，同样的KIS2009。 2009-3-14 09:37 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 7 楼没有KIS 2009呢？ IRQL错误还是POOL崩溃呢~~哎~ 2009-3-14 11:42 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 8 楼嗯，我再对照着DDK里的例子再看看。 2009-3-14 13:27 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 9 楼我在EnumProcess函数中，列举出进程名，并加入到链表，此时正常；在MyDeviceIoControl例程中，通过CONTAINING_RECORD取得链表中进程名，在用DbgPrint打印出来。问题是—— 如果关了卡巴，一切正常；如果运行卡巴，链表中某个元素地址中的数据会莫名消失了！！！好比说： “svchost.exe”这个UNICODE字符串，在EnumProcess中插入链表时，其地址在0x80001234，此时在Windbg中“db 80001234”，还能看到其字样，DbgPrint也正常；但在MyDeviceIoControl中再通过读取链表来DbgPrint，0x80001234的数据却没有了？？！！但也不是所有链表元素的数据都消失，一部分而已。这些数据哪里去了呢？ 2009-3-18 17:10 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 10 楼加锁了没，哥们~ 2009-3-18 20:38 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 11 楼没加锁~~~ 一直以为只有写多线程代码中才要用自旋锁。今晚又看了一下书，稍微有点明白了。修改了一下代码，在插入链表时使用了自旋锁。使用了ExInterlockedInsertTailList和ExInterlockedRemoveHeadList函数，最开始运行时还是老样子，出现数据丢失的情况，纳闷了一会儿，后来才知道，ExInterlockedXXX类函数不能操作分页内存的数据，而我在分配内存时使用了PagedPool，于是修改成NonPagedPool，OK了。以后还是得仔细些，尽量自己分析查找解决问题，否则一碰到问题就到论坛发问，虽然热心的朋友们都会帮忙解答，但会逐步形成惰性，终归有碍于自身的提高。谨记！再次感谢老V的指点！！！ 2009-3-19 01:00 0
bluering 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	bluering 12 楼 2009-3-19 21:00 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 13 楼哪里有问题吗？ 2009-3-19 23:21 0
uzgw 雪币： 12 活跃值： (671) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	uzgw 14 楼学习了 2022-7-12 16:26 0
uzgw 雪币： 12 活跃值： (671) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	uzgw 15 楼 aliwy 没加锁~~~ 一直以为只有写多线程代码中才要用自旋锁。今晚又看了一下书，稍微有点明白了。修改了一下代码，在插入链表时使用了自旋锁。使用了ExInterlockedInsertTailList和 ... 2022-7-12 16:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复