求助张老师,关于硬件访问断点中断后的判断

Windows内核调试

求助张老师,关于硬件访问断点中断后的判断

cqyczj 2013-11-06, 17:03 下午
张老师您好,我在研究一个对SSDT表进行了HOOK的驱动dhth.sys,它对表里的NtOpenProcess进行了HOOK,我想知道这个驱动时否加了校验,特别下了一个硬件访问断点ba r2 nt!kiservicetable+0xbe*4 结果中断了下来,但并没有中断在dhth.sys代码段里,而是中断在了快速调用代码段里根据地址判断应该是中断在内核文件ntkrnlpa.exe里,我也是内核初学者,就是不明白明明是dhth.sys对SSDT表HOOK了,校验代码也应该是在dhth.sys里,怎么会中断在内核文件里。



Re: 求助张老师,关于硬件访问断点中断后的判断

HelloDDK 2013-12-08, 21:43 下午

因为内核也是通过KiServiceTable与服务索引 取出并调用服务的
mov edx, dword ptr[edi+eax*4]

edi是KiServiceTable的地址, eax是服务索引

Powered by Community Server Powered by CnForums.Net