约有 306 项符合查询结果, 以下是第 20 - 31项。
费时 < 1 秒。
唉... 一看就知道是 Rku Inline SwapContext 瞎搞...
2003 平台下 SwapContext 的反汇编如下(注意看红色指令):
0: kd> u SwapContextnt!SwapContext:8088d040 51 push ecx8088d041 807e5d00 cmp byte ptr ...
Posted in Windows内核调试
by
王宇
on 2009-02-06
Raymond 老师 我也没有 DUMP 文件,我是看楼主贴出来的信息写的。楼主要是能上传一份就好了。我又看了一下代码,的确是这样:VOIDMmCleanProcessAddressSpace ( IN PEPROCESS Process ){ ...... // // Delete all the valid user mode addresses from the working set list. // At this point page faults are ...
Posted in Windows内核调试
by
王宇
on 2009-02-06
呵呵 跑题了。我再补充一些:MiDeleteAddressesInWorkingSet 的参数是进程 - 88f0ad88
VOIDMiDeleteAddressesInWorkingSet ( IN PEPROCESS Process )
/*++
Routine Description:
This routine deletes all user mode addresses from the working set list.
Arguments:
Process - Supplies a pointer to the ...
Posted in Windows内核调试
by
王宇
on 2009-02-05
我来介绍一下市面上的源码。市面上有泄露的(部分) NT 和 2K 微软内核源码,缺点是某些数据结构变化了,且无法编译、调试。微软公开的 WRK 是可编译的,但是开源代码较少( http://advdbg.org/forums/1442/ShowPost.aspx ),且只对教育领域公开。KiSSinGGer 同学就曾经因为在 Blog 上张贴 WRK1.2v 源码包而被微软致信警告,我记得驱动开发网论坛上有 Znsoft 张贴的源码包 (我就纳闷了,微软为什么不警告马勇同学呢?)许多同学是有源码而没有完整的光盘,光盘长这个模样 (感谢南京大学-夏耐博士/老师):十七孔桥的结构的确很漂亮! 实际调试 WRK 是这样的:可以看到源码路径里 KdInitSystem ...
Posted in Windows内核调试
by
王宇
on 2009-02-05
APC 的流程是:
KeInitializeApc -> KeInsertQueueApc -> Ki...
KiServiceExit 从内核态返回用户态前调用 KiDeliverApc 去“投递”APC:
kd> u KiServiceExitnt!KiServiceExit:8082351e fa cli8082351f f6457202 ...
Posted in Windows内核调试
by
王宇
on 2009-02-04
Raymond 老师的方法好,很通用!如果有样本且是双机调试环境的话可以分析的手段就更多了。
poc 嘿嘿,是俺们对“垃圾代码”的统称。全称是 Proof Of Concept。
我贴的代码是我 HardCode.c 的一小部分,毕竟有时候完整的硬编码还是很好使的。因为楼主需要关心 _EPROCESS 里的 UniqueProcessId 和 InheritedFromUniqueProcessId,所以我列出了它们在各平台下在 _EPROCESS 里的偏移。
..\ntos\ps\create.c 不是 DDK 里的东东,它是微软源码里的东东。
Posted in Windows内核调试
by
王宇
on 2009-02-03
楼主要是写过遍历链表的小POC就会发现 Process Explorer 其实也就是分析 UniqueProcessId 和 InheritedFromUniqueProcessId 之间的关系来显示那棵进程树的。下面是我的某小POC的部分输出(请注意 UID 和 IID 的关系):''0x826D73B0'' NEXT=''0x825B97C0'', EPROCESS=0x827BA830, UID=0x00000004, IID=0x00000000. ; System''0x825B97C0'' NEXT=''0x82640DC8'', EPROCESS=0x826432F8, UID=0x0000019C, ...
Posted in Windows内核调试
by
王宇
on 2009-02-03
楼上的如果没有三等奖的书籍我愿意把那本书给您。 ^_^
Posted in 《软件调试》书友
by
王宇
on 2009-02-02
问题很简单,内存访问错。
ExReleaseResourceLite() 函数的实现如下:
VOID
FASTCALL
ExReleaseResourceLite(
__inout PERESOURCE Resource
)
/*++
Routine Description:
This routine releases the specified resource for the current thread
and decrements the recursion count. If the count reaches zero, then
the resource may also be ...
Posted in WinDbg
by
王宇
on 2009-01-16