HOOK IDT频繁蓝屏(Window 正确 HOOK IDT)
环境 win7x64 Microsoft Windows [版本 6.1.7601]
也是一个朋友 HOOK IDT 测试 问我IDT为啥老是蓝屏。结果是因为swapgs问题。 如果你知道swapgs作用。或者 在IDT swapgs起到的作用 就不用往下看了。
给我朋友解释了 结果他还是不理解。。。所以写个文章吧。 希望可以帮到其他朋友
我们先来分析下IDT的函数开发
图1
图2
图3
图1 是 KiDebugTrapOrFault 函数头内容 IDT 0x1
图2 是 KiBreakpointTrap 函数头内容 IDT 0x3
图3 是 KiPageFault 函数头内容 IDT 0x0E
我们通过对比可以发现 函数头是一样的。
nt!KiPageFault:
fffff800`03e77a00 55 push rbp
fffff800`03e77a01 4881ec58010000 sub rsp,158h
fffff800`03e77a08 488dac2480000000 lea rbp,[rsp+80h]
fffff800`03e77a10 c645ab01 mov byte ptr [rbp-55h],1
fffff800`03e77a14 488945b0 mov qword ptr [rbp-50h],rax
fffff800`03e77a18 48894db8 mov qword ptr [rbp-48h],rcx
fffff800`03e77a1c 488955c0 mov qword ptr [rbp-40h],rdx
fffff800`03e77a20 4c8945c8 mov qword ptr [rbp-38h],r8
fffff800`03e77a24 4c894dd0 mov qword ptr [rbp-30h],r9
fffff800`03e77a28 4c8955d8 mov qword ptr [rbp-28h],r10
fffff800`03e77a2c 4c895de0 mov qword ptr [rbp-20h],r11
fffff800`03e77a30 f685f000000001 test byte ptr [rbp+0F0h],1 这里进行了判断 如果等于1 则跳转 不需要执行swapgs
fffff800`03e77a37 7474 je nt!KiPageFault+0xad (fffff800`03e77aad)
fffff800`03e77a39 0f01f8 swapgs
swapgs的作用是交换gs段基址 我们知道。在R3下 GS指向的是 TEB环境块(x86 是fs) 在R0下 GS指向 _KPCRB 当前CPU结构.
因此当R3触发了IDT中断的时候需要切换gs 才能继续执行。否则就会导致我们亲爱的 蓝大妈。 原理就是这样。
那么我们HOOK IDT的时候。聪明的人应该已经想到 我们也需要使用函数头 下面是一个简单的 HOOK PageFault例子(IDT 0xE)
CODE
DebugTrap proc
push rbp
sub rsp,158h
lea rbp,[rsp+80h]
test byte ptr [rbp+0F0h],1
je LabelKernel
swapgs
LabelKernel:
.......... //这里就是你自定义的一些代码
test byte ptr [rbp+0F0h],1
je LabelKernelEnd
swapgs
LabelKernelEnd:
add rsp,158h
pop rbp
DebugTrap endp
END
好了。到此结束。。祝大家好运 Good Luck.
狂客原创,转载请注明。侵权必究 作者:狂客 QQ:214109721
HOOK IDT频繁蓝屏(Window 正确 HOOK IDT)的更多相关文章
- Windows Server 2012 R2蓝屏
最近发现某个医院客户Windows Server 2012 R2 DataCenter的系统频繁蓝屏重启,重启没过一天再一次出现,反反复复折腾好几天,提示信息ntoskrnl.exe.mssmbios ...
- 【转载】Window服务器开机后一直处于蓝色屏幕(非蓝屏 crash)状态
阿里云Windows系统服务器运维的过程中,有时候会遇到实例开机后一直处于蓝色背景屏幕(非蓝屏 crash )状态.此时你发现鼠标可以任意正常移动,但是屏幕上却没有任何的图标可以供操作,这种情况可能是 ...
- 分析Windows的死亡蓝屏(BSOD)机制
这篇文章本来是投Freebuf的,结果没过.就贴到博客里吧,图懒得发上来了 对于Windows系统来说,被人们视为洪水猛兽的蓝屏也是一种有利于系统稳定的机制.蓝屏其实是Windows系 统的一种自查机 ...
- windows蓝屏错误小全
作者:siyizhu 日期:2005-11-27 字体大小: 小 中 大 引用内容 0 0x00000000 作业完成. 1 0x00000001 不正确的函数. 2 0x00000002 系统 ...
- TsFltMgr.sys系统蓝屏的原因就在于QQ电脑管家!
同事一WindowsXP系统,正常执行,关闭后,第二天无法启动,详细症状为: (1)安全模式以及带网络功能的安全模式都能够进入: (2)正常模式,还没出现WindowXP滚动栏就開始重新启动: (3) ...
- TsFltMgr.sys其原因是,该系统蓝屏QQ计算机管理器!
同事一WindowsXP系统,正常执行,关闭后,第二天无法启动.详细症状为: (1)安全模式以及带网络功能的安全模式都能够进入. (2)正常模式.还没出现WindowXP滚动栏就開始重新启动: (3) ...
- map 后 PE 蓝屏原因专题讨论(e820cycles参数)
map 后 PE 蓝屏原因专题讨论(e820cycles参数)http://bbs.znpc.net/thread-6182-1-5.html不点发表于 2011-12-8 11:42:31 大家知道 ...
- windows蓝屏代码大全及常见蓝屏解决方案
对于以下的代码查询建议使用ctrl+F查询,而且很多蓝屏与黑屏的问题多是最近操作引起的,例如更新驱动,安装新的硬件.软件--把相关的配置调到最近的正常状况大多可以解决,确实不行时方可考虑重装系统,解决 ...
- Windows常见蓝屏故障分析
转自Windows常见蓝屏故障分析 症状描述: 当您在运行Microsoft Windows 2000/XP/Server 2003.Microsoft Windows Vista/Server 20 ...
随机推荐
- 多重背包--java
多重背包 有N种物品和一个容量为V的背包.第i种物品最多有n[i]件可用,每件费用是c[i],价值 是w[i].求解将哪些物品装入背包可使这些物品的费用总和不超过背包容量,且价值总和最大母函数的思想也 ...
- centos安装谷歌浏览器
第一步: 切换到root权限 su root 或者 sudo -i 第二步: 下载新的软件源: 进入到 cd /etc/yum.repos.d 然后 wget http://people.centos ...
- db2删除表中数据
DB2数据库系统建表后,难免会有将表中数据清空的需求,本文将为您介绍DB2数据库中四种数据删除的方法,供您参考,您可以根据实际情况来进行选择,希望能对有所帮助. 1. 使用 DELETE 语句,即: ...
- Sublime_SideBarEnhancements
此插件可以实现对左边目录进行新建,删除文件,文件夹等操作.
- Spring(1)—初识
Spring是一个开放源代码的设计层面框架,他解决的是业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用. 特点: 轻量--从大小与开销两方面而言Spring都是轻量的. 控 ...
- sqoop导出到hdfs
./sqoop export --connect jdbc:mysql://192.168.58.180/db --username root --password 123456 --export- ...
- 《2019测试面试题-上海悠悠.pdf》
前言 面试测试岗位一般会有笔试题,笔试题考SQL和编程基础比较多,小编最近收集了多家公司的测试面试题,整理成一个文档供大家参考. 2018年下半年一直不太平,听到最多的就是"p2p暴雷&qu ...
- ReactNative如何在JS中引用原生自定义控件(rn变化太快,网上很多教程有坑,这个我研究后可用,特意分享)
直接写一个Demo例子,有相关功底的肯定明白,会对特别的地方进行提醒,本文基于https://blog.csdn.net/lintcgirl/article/details/53489490,但是按此 ...
- Java Lambda 表达式 对 Map 对象排序
Map<String,String> mailParams = new LinkedHashMap<>(); mailParams.put("Action" ...
- js正则提取数字小数,提取中文,提取英文
var value="污染物:PM2.5"; //提取中文 console.log(value.replace(/[^\u4E00-\u9FA5]/g,'')); //提取英文 c ...