Re: 《格蠹汇编》读后思考了几个问题。

《格蠹汇编》

《格蠹汇编》读后思考了几个问题。

WillingBug163 2013-08-19, 17:08 下午
看了张老师的新书收获颇丰。同时有几个问题想请教一下老师。

1.我想在开机系统启动CSRSS程序时就将它断下来。要怎么做。试了在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\csrss.exe中设置了Debugger为E:\Debuggers\ntsd.exe -d -G -o -pd。但是没有断下来也没有启动ntsd.

2.在第48页与49页中说搜索名为“TermSrvReadyEvent”,老师是用什么工具搜索的,我试了一个Process Explorer可以但输出结果略有不同。

3.看了老师写的34章很有感触,于是想到了内核的内存池结构_POOL_HEADER等。在内核程序中经常会遇到一个内存溢出的问题,很多时候可能是别的模块写溢出了,但发生蓝屏的位置已经不是出错误的位置了。如何能有效的追踪到发生内存操作溢出的源呢?我想了想,可以按照内存池结构向上回溯,找到离它最近两个内存块。根据其TAG可找到些许线索。其范围还是太大。有没有更好的方法来缩小范围。有时调用着在申请内存时并不设置TAG我的方法就失灵了。

期待老师再出新作。

您忠实的读者

Re: 《格蠹汇编》读后思考了几个问题。

格蠹老雷 2013-08-19, 23:41 下午

多谢反馈和鼓励!

问题1,是否启用调试CSRSS了?

问题2,指的是搜索互联网。

问题3,比较好的方法是通过verifier启用内核池验证,然后再regress,通常就可以抓住...

 

 

Re: 《格蠹汇编》读后思考了几个问题。

WillingBug163 2013-08-20, 09:45 上午
问题1:启用了,按照您书上的方法是可以调试的,符号什么的我都加上了,很好用。应该我的这个方向没错吧。要开机调它就是要这样做吧。如果我方向没错,我就自己再研究研究。呵呵,我怕是研究半天方向都错了。

Re: 《格蠹汇编》读后思考了几个问题。

格蠹老雷 2013-08-20, 22:41 下午

因为CSRSS是Windows子系统的服务程序,身份特殊,它没创建好,NTSD可能无法创建...

不知何种需要要调试CSRSS的初始化代码?如果一定要调试的话,可以在内核态的进程创建代码设置断点...

Re: 《格蠹汇编》读后思考了几个问题。

WillingBug163 2013-08-21, 09:28 上午
想看一下它的启动过程,主要想设法让它跑到沙盒里一份。win7中UAC弹出的确认框是不是源自它?

Re: 《格蠹汇编》读后思考了几个问题。

格蠹老雷 2013-09-07, 18:09 下午
如果要调试UAC的提升特权过程,建议从Application Information Service入手,这个根本不需要从CSRSS进程的创建开始调试

Powered by Community Server Powered by CnForums.Net