觉得Raymond前辈是一个很好的老师。所以您的书友会可不能错过哦。（如果把P4那本书赐予我，那您就更棒了！O(∩_∩)O哈哈~，王宇大哥别怪我给你抢书哦！o(≧v≦)o）   由于大三了，时间很紧，所以没有时间拿着书在采武汉外景，还请见谅。照片中的背景是我可爱的寝室。   这是我可爱的电脑（她叫Sherry哦~~~）和软件调试！！（看到书架上那个小关公没，帅吧！）     上面是我砸锅卖铁买下的书（有点夸张，呵呵。不过真是省了好长时间才能买下这些的。），被我视为珍宝。最下面那一本，被我包起来了，哈哈。其实它是罗云彬老师的那本win32汇编语言程序设计。   好吧，挫样终于出现了。。。不要笑，我会生气的。 &n ...

''写Hook引擎是一件没什么意义的事情 钩子有风险 Hook需谨慎，“自动化”或者“干扰引擎”的想法都是比较疯狂的... '' 感觉很有道理。。。 从来没想给patch 100多个字节的情况，那个太恐怖了。

差不多能明白您的意思了。 谢谢^_^ 记得原来看到MJ前辈也发表过这一类的方法，就是在 8bff mov edi,edi patch后 EB F9 jmp $-5 然后在例程上面的nop或int3中再实现一个跳转到新的函数中。

这里我有个地方没看明白。 首先王宇讨论的是“多核下安全地 N 字节 Patch 内核的问题”。 我的理解是怎么在驱动上下功夫，让Patch内核更安全。这里Raymond前辈说的“注意，8056d62c是一个按四字节对齐的地址，这样，hotpatch时，就可以利用32位CPU的一条指令以原子方式（LOCK前缀）把这里的指令替换掉，不需要任何软件方面的锁。” 我没明白这句话的意思，我猜测可能的两种含义： （1）是在我们的驱动中用原子方式替换掉8056d62c这的指令吗？那么即使这样，服务例程是从8056d62e ...

谢谢MJ前辈指点。

谢谢，呵呵。我还没看到19章。。。这本书真是难啃啊~~~

我跟踪IopAttachDeviceToDeviceStackSafe时候发现IopVerifierOn的。后来怎么也找不到系统会在哪里设置IopVerifierOn了。

其实就是NtCreateMutant中有这个东西。。。 try { PreviousMode = KeGetPreviousMode(); if (PreviousMode != KernelMode) { ProbeForWriteHandle(MutantHandle); ...... } except(ExSystemExceptionFilter()) { ...... MJ前辈是改Kthread->PreviousMode = 0

我也来凑凑热闹。。。争取这个星期把图片发上来~~~~

MJ0011 原来叫 郑文彬 我一直以为叫马甲。。。囧~~~>_<