搜索论坛 帖子排序:  Oldest to newest Newest to oldest

2012-07-06, 12:07 下午 DS1987 注册: 2012-07-06 发 贴: 1 卸载驱动时unhook debug handler和恢复DRx后，触发了递归KiTrap01导致栈溢出蓝屏 请教下大家：（特别是张老师） 这个问题折磨了我快2个星期了。我使用了5份代码，全部存在这个问题。（2份中国人的代码，3份老外的代码） 我要干什么： 我要hook idt的1号入口（debug handler），然后设置DR0寄存器设置一个硬件断点，（为了防止被清，我开启了DR7的GD位） 在卸载的时候，我先恢复DRx寄存器，然后unhook int 1，但是我发现winlogon进程的一个线程访问fs:[0]时触发了1号中断，而KiTrap01的入口处也有访问fs:[0]的代码（看wrk知道是保存exceptionlist表头指针），这样就无限递归了。。蓝屏（蓝屏后，windbg里查看drx寄存器，发现dr0-7都是乱七八糟的值，为啥DRx居然没有被清掉？） 我感到非常惊悚的事情： 1.为什么访问fs:[0]会触发int 1中断。。。？？太不可思议了吧 2.为什么蓝屏时（处于winlogon进程），drx寄存器至少dr0寄存器不是0？要知道我卸载时是恢复了dr0的（考虑了SMP的） 3.在Ring0，DRx应该是和CPU相关的吧，应该和线程没关系吧，看intel手册是这么说的啊，那为啥会出现上面惊悚的第二条情况？ 4.为什么每次都是蓝在了winlogon进程？和线程切换有关系吗？ 我贴一下我最后使用的代码：（最后用的是一个韩国人的代码，感觉算是写的好点的） http://chpie.tistory.com/entry/KeyboardHook 请大家给指点下，谢谢 PS。这份韩国人的代码内提供了编译好了的exe和sys，我直接测试它的程序，在某些xp机器上也会卸载蓝屏（也是winlogon进程导致的KiTrap01栈溢出） IP 地址: 已记录   报告

高端调试 » 软件调试 » Windows内核调试 » 卸载驱动时unhook debug handler和恢复DRx后，触发了递归KiTrap01导致栈溢出蓝屏

请选择 论坛首页 |- 论坛搜索 |- 热门主题 |- 未回复的主题 用户选项 |- 登录 |- 注册 |- 找回密码 软件调试 |- Windows内核调试 |- C/C++本地代码调试 |- .Net程序调试 |- 脚本程序调试 |- Java程序调试 |- Linux内核调试 |- 《程序员》杂志调试专栏 |- WinDbg |- GDB |- 远程调试 |- 调试ACPI和BIOS |- 特殊的调试任务 |- 转储分析 |- GDK7 内核探秘 |- Windows内核 |- Linux内核 系统架构 |- CPU架构 |- PCI/PCI Express架构 程序人生 |- 软件物语 |- 社区活动 |- 名人逸事 联盟论坛 |- 欢迎使用CnForums 没有银弹 |- BUG也精彩 |- 豆腐工程 |- 软件圈里十大怪 Windows Vista |- 用调试利剑剖析VISTA内幕 |- 老专家如何破解新问题 |- 我的电脑谁说了算？ |- 资源 Office开发 |- Visio 驱动程序开发 |- Windows驱动开发 |- Linux驱动开发 |- Windows CE驱动开发 用户态开发 |- Windows本地代码（native）高级开发 |- Web应用开发 |- WinFX和.Net |- Office开发 本站建设 |- 高端调试团队 |- 版面布局 |- 活动建议 |- 网站维护 64位计算 |- 64-bit Windows |- 64-bit CPU 图书 |- 《软件调试》的示例程序 |- 《软件调试》的工具 |- 《软件调试》书友 |- 《软件调试》答疑 |- 《软件调试》勘误和意见 |- 《格蠹汇编》 |- 《软件调试》第二版卷1 |- 《软件调试》第二版卷2 云计算 |- IaaS |- 云存储 |- 大数据 |- PaaS和SaaS GPU |- CUDA |- OpenCL |- HSA |- 游戏开发与调试