搜索论坛 帖子排序:  Oldest to newest Newest to oldest

2012-09-07, 17:36 下午 特来劲同学 注册: 2009-08-28 发 贴: 37 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启 void MarkPdeNotPresent( PPDE pPde ) { __asm { mov eax, pPde and dword ptr [eax], 0xFFFFFFFE //mark the pde not present  } } 内核做拦截页错误处理，hook后驱动中自己修改pde，在执行到这一句时and dword ptr [eax], 0xFFFFFFFE，cpu重启，没有蓝屏（所以也没有dump分析） 不知道什么原因，请前辈们指点一二，感激不尽 IP 地址: 已记录   报告

2012-09-07, 19:19 下午 特来劲同学 注册: 2009-08-28 发 贴: 37 Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启  等的好累啊～ 继续等~。~ IP 地址: 已记录   报告

2012-09-07, 22:39 下午 特来劲同学 注册: 2009-08-28 发 贴: 37 Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启 试了下， 修改nt所在的P位重启，修改非nt所在的P位不重启。。。都是pde为什么会有这样的不同呢？ 请老师前辈们指点  IP 地址: 已记录   报告

2012-09-08, 10:21 上午 特来劲同学 注册: 2009-08-28 发 贴: 37 Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启 周末哪都不去了继续等， 不弄明白 不吃饭了 IP 地址: 已记录   报告

2012-09-08, 18:47 下午 格蠹老雷 注册: 2005-12-19 发 贴: 1,303 Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启 专研精神让人钦佩啊 ... 试过不同NT版本么？推测和PatchGuard有关 IP 地址: 已记录   报告

2012-09-09, 09:24 上午 特来劲同学 注册: 2009-08-28 发 贴: 37 Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启 终于看到张老师了！好兴奋啊！晚辈不才让老师见笑了。 张老师，没有 PatchGuard，我的系统是XP的呀 还请老师指点迷津 IP 地址: 已记录   报告

2012-09-10, 12:58 下午 格蠹老雷 注册: 2005-12-19 发 贴: 1,303 Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启 推测的重启过程： A. 内核使用的PDE被改为无效 B. 因为中断或者DDI调用等执行到受影响的内核函数 C. CPU发现PDE无效，准备报Page Fault D. CPU打算转去执行处理Page Fault的Trap函数，但是因为因为一个PDE最多对应于1024个页表，一个PDE被改为无效后，很多内核的内容都无效了，如果IDT或者Trap函数无效，那么会再次触发Page Fault E. 以上两步无穷递归，系统便重启了，可能触发Double Fault，但是Double Fault的处理函数也可能无法执行了... 使用硬件调试器可能可以验证以上推测的...     IP 地址: 已记录   报告

2012-09-10, 20:33 下午 特来劲同学 注册: 2009-08-28 发 贴: 37 Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启 感谢张老师回复！ 之前也和张老师想的一样，然后又开始怀疑这个想法，因为是这样的： 调式我的驱动代码： void MarkPdeNotPresent( PPDE pPde ) {     __asm   {     mov eax, pPde     and dword ptr [eax], 0xFFFFFFFE  //mark the pde not present    } } 这一句and dword ptr [eax], 0xFFFFFFFE 一执行系统便重启，这一句仅仅是一个内存操作，nt内核的tlb应该不会被刷新，即便被刷新，当前的引用代码和数据也还在我的驱动中（所在pde pte是存在的)，驱动中在执行这个函数前也已经hook了缺页中断，系统的也是单核的，所以又怀疑了，是调试引起的(因为调试要调用内核调试引擎)，就在真机上测，还是重启。个人认为cpu内部一些部件可能并不使用tlb，而是直接用的二级页转化寻址，发现不存在便重启。还是没弄明白 张老师，还有就是如果修改其他非nt内核的pde的P位不会出现重启现象，仅仅是nt才出现 IP 地址: 已记录   报告

2012-09-10, 21:11 下午 格蠹老雷 注册: 2005-12-19 发 贴: 1,303 Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启 没有调试的时候，来个时钟中断或者切换一下线程就会引发刷新TLB，就引发上面说的过程了；在调试时，调试事件也会导致必须执行内核函数...... IP 地址: 已记录   报告

2012-09-11, 10:56 上午 kkindof 注册: 2011-11-10 发 贴: 15 Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启 我个人理解认同张老师说的原因，也许就是会经过idt的缺页中断。 不知道你是怎么测试的，你能保证你自己的缺页中断处理能正确的处理回PDE为有效的情况吗？ IP 地址: 已记录   报告

2012-09-11, 11:46 上午 特来劲同学 注册: 2009-08-28 发 贴: 37 Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启 老师，可是线程切换刷新的是非全局的tlb呀，nt的tlb是含有G全局的tlb，书上上这中的不会被刷掉啊 IP 地址: 已记录   报告

2012-09-11, 11:47 上午 特来劲同学 注册: 2009-08-28 发 贴: 37 Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启 回kkindof 可是我已经在驱动中将缺页异常处理器替换到我的函数里了啊 请兄台指点 IP 地址: 已记录   报告

2012-09-11, 13:04 下午 kkindof 注册: 2011-11-10 发 贴: 15 Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启 那又怎么样，你预期是想看到什么结果？ 有可能执行了你的HOOK函数的话，你看得出来吗？ IP 地址: 已记录   报告

2012-09-12, 09:08 上午 特来劲同学 注册: 2009-08-28 发 贴: 37 Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启 现在的预期就是不要看到重启，哪怕蓝屏都可以 IP 地址: 已记录   报告

高端调试 » 软件调试 » Windows内核调试 » Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

请选择 论坛首页 |- 论坛搜索 |- 热门主题 |- 未回复的主题 用户选项 |- 登录 |- 注册 |- 找回密码 软件调试 |- Windows内核调试 |- C/C++本地代码调试 |- .Net程序调试 |- 脚本程序调试 |- Java程序调试 |- Linux内核调试 |- 《程序员》杂志调试专栏 |- WinDbg |- GDB |- 远程调试 |- 调试ACPI和BIOS |- 特殊的调试任务 |- 转储分析 |- GDK7 内核探秘 |- Windows内核 |- Linux内核 系统架构 |- CPU架构 |- PCI/PCI Express架构 程序人生 |- 软件物语 |- 社区活动 |- 名人逸事 联盟论坛 |- 欢迎使用CnForums 没有银弹 |- BUG也精彩 |- 豆腐工程 |- 软件圈里十大怪 Windows Vista |- 用调试利剑剖析VISTA内幕 |- 老专家如何破解新问题 |- 我的电脑谁说了算？ |- 资源 Office开发 |- Visio 驱动程序开发 |- Windows驱动开发 |- Linux驱动开发 |- Windows CE驱动开发 用户态开发 |- Windows本地代码（native）高级开发 |- Web应用开发 |- WinFX和.Net |- Office开发 本站建设 |- 高端调试团队 |- 版面布局 |- 活动建议 |- 网站维护 64位计算 |- 64-bit Windows |- 64-bit CPU 图书 |- 《软件调试》的示例程序 |- 《软件调试》的工具 |- 《软件调试》书友 |- 《软件调试》答疑 |- 《软件调试》勘误和意见 |- 《格蠹汇编》 |- 《软件调试》第二版卷1 |- 《软件调试》第二版卷2 云计算 |- IaaS |- 云存储 |- 大数据 |- PaaS和SaaS GPU |- CUDA |- OpenCL |- HSA |- 游戏开发与调试