环境 win7x64 Microsoft Windows [版本 6.1.7601]
也是一个朋友 HOOK IDT 测试 问我IDT为啥老是蓝屏。结果是因为swapgs问题。 如果你知道swapgs作用。或者 在IDT swapgs起到的作用 就不用往下看了。

给我朋友解释了 结果他还是不理解。。。所以写个文章吧。 希望可以帮到其他朋友

我们先来分析下IDT的函数开发

图1

图2

图3

图1 是 KiDebugTrapOrFault 函数头内容 IDT 0x1

图2 是 KiBreakpointTrap 函数头内容 IDT 0x3

图3 是 KiPageFault 函数头内容 IDT 0x0E

我们通过对比可以发现 函数头是一样的。

nt!KiPageFault:
    fffff800`03e77a00 55 push rbp
    fffff800`03e77a01 4881ec58010000 sub rsp,158h
    fffff800`03e77a08 488dac2480000000 lea rbp,[rsp+80h]
    fffff800`03e77a10 c645ab01 mov byte ptr [rbp-55h],1
    fffff800`03e77a14 488945b0 mov qword ptr [rbp-50h],rax
    fffff800`03e77a18 48894db8 mov qword ptr [rbp-48h],rcx
    fffff800`03e77a1c 488955c0 mov qword ptr [rbp-40h],rdx
    fffff800`03e77a20 4c8945c8 mov qword ptr [rbp-38h],r8
    fffff800`03e77a24 4c894dd0 mov qword ptr [rbp-30h],r9
    fffff800`03e77a28 4c8955d8 mov qword ptr [rbp-28h],r10
    fffff800`03e77a2c 4c895de0 mov qword ptr [rbp-20h],r11
    fffff800`03e77a30 f685f000000001 test byte ptr [rbp+0F0h],1   这里进行了判断   如果等于1 则跳转 不需要执行swapgs
    fffff800`03e77a37 7474 je nt!KiPageFault+0xad (fffff800`03e77aad)
    fffff800`03e77a39 0f01f8 swapgs

              swapgs的作用是交换gs段基址 我们知道。在R3下 GS指向的是 TEB环境块(x86 是fs)   在R0下 GS指向 _KPCRB 当前CPU结构.

              因此当R3触发了IDT中断的时候需要切换gs 才能继续执行。否则就会导致我们亲爱的 蓝大妈。 原理就是这样。 

              那么我们HOOK IDT的时候。聪明的人应该已经想到 我们也需要使用函数头  下面是一个简单的 HOOK PageFault例子(IDT 0xE)

              

CODE

DebugTrap proc

        push    rbp

        sub     rsp,158h

        lea     rbp,[rsp+80h]

        test    byte ptr [rbp+0F0h],1

        je LabelKernel

            swapgs

LabelKernel:

	     .......... //这里就是你自定义的一些代码

         test    byte ptr [rbp+0F0h],1

         je LabelKernelEnd

	 swapgs

LabelKernelEnd:

         add  rsp,158h

         pop rbp

DebugTrap endp

END

     好了。到此结束。。祝大家好运 Good Luck.

狂客原创,转载请注明。侵权必究 作者:狂客 QQ:214109721

HOOK IDT频繁蓝屏(Window 正确 HOOK IDT)的更多相关文章

  1. Windows Server 2012 R2蓝屏

    最近发现某个医院客户Windows Server 2012 R2 DataCenter的系统频繁蓝屏重启,重启没过一天再一次出现,反反复复折腾好几天,提示信息ntoskrnl.exe.mssmbios ...

  2. 【转载】Window服务器开机后一直处于蓝色屏幕(非蓝屏 crash)状态

    阿里云Windows系统服务器运维的过程中,有时候会遇到实例开机后一直处于蓝色背景屏幕(非蓝屏 crash )状态.此时你发现鼠标可以任意正常移动,但是屏幕上却没有任何的图标可以供操作,这种情况可能是 ...

  3. 分析Windows的死亡蓝屏(BSOD)机制

    这篇文章本来是投Freebuf的,结果没过.就贴到博客里吧,图懒得发上来了 对于Windows系统来说,被人们视为洪水猛兽的蓝屏也是一种有利于系统稳定的机制.蓝屏其实是Windows系 统的一种自查机 ...

  4. windows蓝屏错误小全

    作者:siyizhu 日期:2005-11-27 字体大小: 小 中 大  引用内容 0 0x00000000 作业完成.  1 0x00000001 不正确的函数.  2 0x00000002 系统 ...

  5. TsFltMgr.sys系统蓝屏的原因就在于QQ电脑管家!

    同事一WindowsXP系统,正常执行,关闭后,第二天无法启动,详细症状为: (1)安全模式以及带网络功能的安全模式都能够进入: (2)正常模式,还没出现WindowXP滚动栏就開始重新启动: (3) ...

  6. TsFltMgr.sys其原因是,该系统蓝屏QQ计算机管理器!

    同事一WindowsXP系统,正常执行,关闭后,第二天无法启动.详细症状为: (1)安全模式以及带网络功能的安全模式都能够进入. (2)正常模式.还没出现WindowXP滚动栏就開始重新启动: (3) ...

  7. map 后 PE 蓝屏原因专题讨论(e820cycles参数)

    map 后 PE 蓝屏原因专题讨论(e820cycles参数)http://bbs.znpc.net/thread-6182-1-5.html不点发表于 2011-12-8 11:42:31 大家知道 ...

  8. windows蓝屏代码大全及常见蓝屏解决方案

    对于以下的代码查询建议使用ctrl+F查询,而且很多蓝屏与黑屏的问题多是最近操作引起的,例如更新驱动,安装新的硬件.软件--把相关的配置调到最近的正常状况大多可以解决,确实不行时方可考虑重装系统,解决 ...

  9. Windows常见蓝屏故障分析

    转自Windows常见蓝屏故障分析 症状描述: 当您在运行Microsoft Windows 2000/XP/Server 2003.Microsoft Windows Vista/Server 20 ...

随机推荐

  1. C语言中字符输入问题

    先上例题,一道太水太水的题, http://acm.hdu.edu.cn/showproblem.php?pid=1170 让做一个简单的计算器.然而入坑了. #include<stdio.h& ...

  2. django的templatetags

    创建tag方式,首先在需要使用tag的app下创建一个templatetags的python包, 然后在包里创建一个tag模块,例如hellotag.py from django import tem ...

  3. GMA Round 1 二项式展开

    传送门 二项式展开 求$(2x-y+\frac{3}{x}+4z)^{12}$展开式中不含x的任意非0次幂的项的系数和. 用排列组合的思想,相当于在12个括号里选项出来.先把$2x$和$\frac{3 ...

  4. R12.2.4 ORA-01017: invalid username/password; logon denied

    sqlplus / as sysdba ORA-01017: invalid username/password; logon denied [oracle@ebs 11.2.0]$ source / ...

  5. QIDO-RS - Search

    6.7.1 QIDO-RS - Search 6.7.1.1 Request The specific resources to be used for the search actions shal ...

  6. Go语言无锁队列组件的实现 (chan/interface/select)

    1. 背景 go代码中要实现异步很简单,go funcName(). 但是进程需要控制协程数量在合理范围内,对应大批量任务可以使用"协程池 + 无锁队列"实现. 2. golang ...

  7. SharePoint Excel Service - Couldn't Open the Workbook.

    Error meesage: "Couldn't Open the Workbook. Wow, That's a big workbook. Unfortunately, we can't ...

  8. [Canvas]空战游戏 已经可以玩了 1.13Playable

    空战游戏做到这里,己方运动,己方发射子弹,敌方运动,敌方发射子弹,子弹与飞机碰撞,飞机与飞机碰撞都已经具备了,换言之已经可以玩了. 还需要一个奖励升级系统,在上面显示击落敌机数量等,还有己方不幸被击落 ...

  9. 微信支付 python版

    需求: 微信打开商品列表页面-> 点击商品后直接显示付款页面-> 点击付款调用微信支付 说明 微信支付需要你申请了公众号(appid, key - 用于签名), 商户号(mch_id, A ...

  10. 干货!最全羽毛球技术动态分解gif图

    羽毛球的技术千变万化,但是离不开最基本的击球方法.下面通过一组形象的动态图,给你展现羽毛球的基本动作.大家,务必要收藏起来,慢慢体会哦! 一.发球 二.前场技术 1.网前球 2.搓球 3.勾球 4.推 ...