Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

Windows内核调试

冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

---

特来劲同学 2012-09-07, 17:36 下午

Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

---

特来劲同学 2012-09-07, 19:19 下午
 等的好累啊～ 继续等~。~

Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

---

特来劲同学 2012-09-07, 22:39 下午
试了下， 修改nt所在的P位重启，修改非nt所在的P位不重启。。。都是pde为什么会有这样的不同呢？ 请老师前辈们指点 

Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

---

特来劲同学 2012-09-08, 10:21 上午
周末哪都不去了继续等， 不弄明白 不吃饭了

Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

---

格蠹老雷 2012-09-08, 18:47 下午

专研精神让人钦佩啊 ...

试过不同NT版本么？推测和PatchGuard有关

Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

---

特来劲同学 2012-09-09, 09:24 上午
终于看到张老师了！好兴奋啊！晚辈不才让老师见笑了。

Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

---

格蠹老雷 2012-09-10, 12:58 下午

推测的重启过程：

A. 内核使用的PDE被改为无效

B. 因为中断或者DDI调用等执行到受影响的内核函数

C. CPU发现PDE无效，准备报Page Fault

D. CPU打算转去执行处理Page Fault的Trap函数，但是因为因为一个PDE最多对应于1024个页表，一个PDE被改为无效后，很多内核的内容都无效了，如果IDT或者Trap函数无效，那么会再次触发Page Fault

E. 以上两步无穷递归，系统便重启了，可能触发Double Fault，但是Double Fault的处理函数也可能无法执行了...

使用硬件调试器可能可以验证以上推测的...

 

 

Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

---

特来劲同学 2012-09-10, 20:33 下午
感谢张老师回复！{  
  __asm
  {
    mov eax, pPde
    and dword ptr [eax], 0xFFFFFFFE  //mark the pde not present 
  }
}

Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

---

格蠹老雷 2012-09-10, 21:11 下午

没有调试的时候，来个时钟中断或者切换一下线程就会引发刷新TLB，就引发上面说的过程了；在调试时，调试事件也会导致必须执行内核函数......

Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

---

kkindof 2012-09-11, 10:56 上午
不知道你是怎么测试的，你能保证你自己的缺页中断处理能正确的处理回PDE为有效的情况吗？

Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

---

特来劲同学 2012-09-11, 11:46 上午
老师，可是线程切换刷新的是非全局的tlb呀，nt的tlb是含有G全局的tlb，书上上这中的不会被刷掉啊

Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

---

特来劲同学 2012-09-11, 11:47 上午
回kkindof

Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

---

kkindof 2012-09-11, 13:04 下午
那又怎么样，你预期是想看到什么结果？

Re: 冰天雪地 7200。C 旋转 等待 张老师和其他前辈指点 手工修改pde重启

---

特来劲同学 2012-09-12, 09:08 上午
现在的预期就是不要看到重启，哪怕蓝屏都可以