hook int 1,能拿到多少信息?

Windows内核调试

hook int 1,能拿到多少信息?

一鱼之歌 2011-05-02, 23:31 下午
貌似那些exception record是在下面才组织好的

而在int 1入口只知道压入eflags cs和ip。。除此之外,就没其它信息了。。

想问下其它信息怎么获取呢

Re: hook int 1,能拿到多少信息?

一鱼之歌 2011-05-04, 14:11 下午
顶下呖。。。。。。。

Re: hook int 1,能拿到多少信息?

格蠹老雷 2011-05-04, 14:15 下午
dr6, P84
什么原因要这样的hook呢?很不提倡...

Re: hook int 1,能拿到多少信息?

一鱼之歌 2011-05-04, 16:15 下午
嗯,貌似也就这个了。exception record也就从这些信息中组织得来吧,看wrk的汇编那里感觉还不如直接ida看得舒服。不过没看完,呵。

我只是突然想起,用这样的硬件断点可以监视某些保护的地址。

另外加个问题,如果我在内核中下了一个硬件断点,
我又在应用层调试中下一个硬件断点,这时候在int 1中断中。dr0有点纠结啊。。也不可能r3的硬件断点会把内核的覆盖掉。不晓得我的问题说清楚没

Powered by Community Server Powered by CnForums.Net