环境 win7x64 Microsoft Windows [版本 6.1.7601]
也是一个朋友 HOOK IDT 测试 问我IDT为啥老是蓝屏。结果是因为swapgs问题。 如果你知道swapgs作用。或者 在IDT swapgs起到的作用 就不用往下看了。

给我朋友解释了 结果他还是不理解。。。所以写个文章吧。 希望可以帮到其他朋友

我们先来分析下IDT的函数开发

图1

图2

图3

图1 是 KiDebugTrapOrFault 函数头内容 IDT 0x1

图2 是 KiBreakpointTrap 函数头内容 IDT 0x3

图3 是 KiPageFault 函数头内容 IDT 0x0E

我们通过对比可以发现 函数头是一样的。

nt!KiPageFault:
    fffff800`03e77a00 55 push rbp
    fffff800`03e77a01 4881ec58010000 sub rsp,158h
    fffff800`03e77a08 488dac2480000000 lea rbp,[rsp+80h]
    fffff800`03e77a10 c645ab01 mov byte ptr [rbp-55h],1
    fffff800`03e77a14 488945b0 mov qword ptr [rbp-50h],rax
    fffff800`03e77a18 48894db8 mov qword ptr [rbp-48h],rcx
    fffff800`03e77a1c 488955c0 mov qword ptr [rbp-40h],rdx
    fffff800`03e77a20 4c8945c8 mov qword ptr [rbp-38h],r8
    fffff800`03e77a24 4c894dd0 mov qword ptr [rbp-30h],r9
    fffff800`03e77a28 4c8955d8 mov qword ptr [rbp-28h],r10
    fffff800`03e77a2c 4c895de0 mov qword ptr [rbp-20h],r11
    fffff800`03e77a30 f685f000000001 test byte ptr [rbp+0F0h],1   这里进行了判断   如果等于1 则跳转 不需要执行swapgs
    fffff800`03e77a37 7474 je nt!KiPageFault+0xad (fffff800`03e77aad)
    fffff800`03e77a39 0f01f8 swapgs

              swapgs的作用是交换gs段基址 我们知道。在R3下 GS指向的是 TEB环境块(x86 是fs)   在R0下 GS指向 _KPCRB 当前CPU结构.

              因此当R3触发了IDT中断的时候需要切换gs 才能继续执行。否则就会导致我们亲爱的 蓝大妈。 原理就是这样。 

              那么我们HOOK IDT的时候。聪明的人应该已经想到 我们也需要使用函数头  下面是一个简单的 HOOK PageFault例子(IDT 0xE)

              

CODE

DebugTrap proc

        push    rbp

        sub     rsp,158h

        lea     rbp,[rsp+80h]

        test    byte ptr [rbp+0F0h],1

        je LabelKernel

            swapgs

LabelKernel:

	     .......... //这里就是你自定义的一些代码

         test    byte ptr [rbp+0F0h],1

         je LabelKernelEnd

	 swapgs

LabelKernelEnd:

         add  rsp,158h

         pop rbp

DebugTrap endp

END

     好了。到此结束。。祝大家好运 Good Luck.

狂客原创,转载请注明。侵权必究 作者:狂客 QQ:214109721

HOOK IDT频繁蓝屏(Window 正确 HOOK IDT)的更多相关文章

  1. Windows Server 2012 R2蓝屏

    最近发现某个医院客户Windows Server 2012 R2 DataCenter的系统频繁蓝屏重启,重启没过一天再一次出现,反反复复折腾好几天,提示信息ntoskrnl.exe.mssmbios ...

  2. 【转载】Window服务器开机后一直处于蓝色屏幕(非蓝屏 crash)状态

    阿里云Windows系统服务器运维的过程中,有时候会遇到实例开机后一直处于蓝色背景屏幕(非蓝屏 crash )状态.此时你发现鼠标可以任意正常移动,但是屏幕上却没有任何的图标可以供操作,这种情况可能是 ...

  3. 分析Windows的死亡蓝屏(BSOD)机制

    这篇文章本来是投Freebuf的,结果没过.就贴到博客里吧,图懒得发上来了 对于Windows系统来说,被人们视为洪水猛兽的蓝屏也是一种有利于系统稳定的机制.蓝屏其实是Windows系 统的一种自查机 ...

  4. windows蓝屏错误小全

    作者:siyizhu 日期:2005-11-27 字体大小: 小 中 大  引用内容 0 0x00000000 作业完成.  1 0x00000001 不正确的函数.  2 0x00000002 系统 ...

  5. TsFltMgr.sys系统蓝屏的原因就在于QQ电脑管家!

    同事一WindowsXP系统,正常执行,关闭后,第二天无法启动,详细症状为: (1)安全模式以及带网络功能的安全模式都能够进入: (2)正常模式,还没出现WindowXP滚动栏就開始重新启动: (3) ...

  6. TsFltMgr.sys其原因是,该系统蓝屏QQ计算机管理器!

    同事一WindowsXP系统,正常执行,关闭后,第二天无法启动.详细症状为: (1)安全模式以及带网络功能的安全模式都能够进入. (2)正常模式.还没出现WindowXP滚动栏就開始重新启动: (3) ...

  7. map 后 PE 蓝屏原因专题讨论(e820cycles参数)

    map 后 PE 蓝屏原因专题讨论(e820cycles参数)http://bbs.znpc.net/thread-6182-1-5.html不点发表于 2011-12-8 11:42:31 大家知道 ...

  8. windows蓝屏代码大全及常见蓝屏解决方案

    对于以下的代码查询建议使用ctrl+F查询,而且很多蓝屏与黑屏的问题多是最近操作引起的,例如更新驱动,安装新的硬件.软件--把相关的配置调到最近的正常状况大多可以解决,确实不行时方可考虑重装系统,解决 ...

  9. Windows常见蓝屏故障分析

    转自Windows常见蓝屏故障分析 症状描述: 当您在运行Microsoft Windows 2000/XP/Server 2003.Microsoft Windows Vista/Server 20 ...

随机推荐

  1. python测试开发django-57.xadmin选项二级联动

    前言 当我们选择项目分类的时候,一个项目下关联多个模块,同时有这两个选项框的时候,需要实现选中一个项目,模块里面自动删除出该项目下的模块,如下图这种 解决基本思路: 1.写个jqeury脚本监听cha ...

  2. 在.NET下如何预防XXE注入攻击

    接下来关于.NET中XXE注入的内容来自Dean Fleming单元测试的Web站点:https://github.com/deanf1/dotnet-security-unit-tests.该站点覆 ...

  3. getParameter() getInputStream()和getReader() 区别 这三种方法是有冲突的,因为流只能被读一次。

    我们经常用servlet和jsp, 经常用request.getParameter() 来得到数据. request.getParameter()request.getInputStream()req ...

  4. [JS]常见JS错误之一:Uncaught SyntaxError: Unexpected identifier

    在编写JS时如果创建变量没有用var而是使用了变量的类型,如: MyClass c=new MyClass(); 这样的错误Java程序员容易犯,也许不经意就写出来了,然后chrome的开发者工具里会 ...

  5. 解决Android Studio出现GC overhead limit exceeded

    方法一: 修改项目目录下的gradle.properties,增加如下配置信息(红色文字中需要根据自己电脑的配置修改内存大小,其余的配置用于加快gradle的编译速度) org.gradle.daem ...

  6. 利用StringEscapeUtils来转义和反转义html/xml/javascript中的特殊字符

    我们经常遇到html或者xml在Java程序中被某些库转义成了特殊字符. 例如: 各种逻辑运算符: > >= < <= == 被转义成了 &#x3D;&#x3D ...

  7. 日志分析工具 Log Parser

    微软的Log Parser, 下载地址 https://www.microsoft.com/en-us/download/details.aspx?id=24659 支持多种文件格式的分析,输入输出, ...

  8. VPS、虚拟主机、云主机的区别

    引用知乎网友通俗的例子解释: 1. 小王是深圳的一拆迁户,有钱任性:自己租了一块地皮[带宽],盖了一栋10000平方的房子[服务器],计划租给别人赚钱.2. 但是10000平方的房子太大,能租起的人太 ...

  9. Electron初探

    H5开发桌面应用? 没错,H5现在也可以开发跨平台的桌面应用了,这意味着我们可以用网页来设计和制作桌面应用. 基于Node.js的Electron框架就可以实现桌面应用,比较有名的Electron框架 ...

  10. JSSDK微信支付封装的支付类方法,代码比较齐全,适合收藏

    第1肯定是配置的参数类 public class JsApiConfig { #region 字段 private string mch_id = string.Empty; private stri ...