15,471
社区成员
发帖
与我相关
我的任务
分享【求助】新手获得SSDT当前/原始地址的不可思议问题
NTSTATUS DriverEntry(
IN OUT PDRIVER_OBJECT DriverObject ,
IN PUNICODE_STRING RegistryPath
)
{
ULONG now , old;
//ULONG t;
CreateMyDevice (DriverObject ); //创建相应的设备
DriverObject ->DriverUnload = BEATPROTECT_DriverUnload;
now = GetNtOpenProcessAddr();//这个是获得当前OpenProcess的地址
old = GetSSDTAddrByIndex (190);//这个是获得原始OpenProcess的地址
KdPrint (("now = %0x, old = %0x" ), now, old );
return STATUS_SUCCESS ;
}
这样具体的函数实现就略吧。
然后怪事就来了
调试的时候上面的代码输出的结果是正确的。
但是如果我再把
//ULONG t;
这个注释打开,结果就是错的。。百思不得解。。以前是JAVA的难道C里申请了一个变量也要改变结果么。。。
新人求解。。各位大大受累指点一下
图片如下
IN OUT PDRIVER_OBJECT DriverObject ,
IN PUNICODE_STRING RegistryPath
)
{
ULONG now , old;
//ULONG t;
CreateMyDevice (DriverObject ); //创建相应的设备
DriverObject ->DriverUnload = BEATPROTECT_DriverUnload;
now = GetNtOpenProcessAddr();//这个是获得当前OpenProcess的地址
old = GetSSDTAddrByIndex (190);//这个是获得原始OpenProcess的地址
KdPrint (("now = %0x, old = %0x" ), now, old );
return STATUS_SUCCESS ;
}
这样具体的函数实现就略吧。
然后怪事就来了
调试的时候上面的代码输出的结果是正确的。
但是如果我再把
//ULONG t;
这个注释打开,结果就是错的。。百思不得解。。以前是JAVA的难道C里申请了一个变量也要改变结果么。。。
新人求解。。各位大大受累指点一下
图片如下
...全文
请发表友善的回复…
发表回复
StarsunYzL 2012-04-29
- 打赏
- 举报
同上,KdPrint是个宏,要把所有参数都刚到内括号里:
KdPrint(("now = %0x, old = %0x", now, old));
没有定义ULONG t时,栈刚好巧合对上KdPrint的now、old参数吧,多了t栈就对不上了,像上面这样把所有参数都括起来就没问题了。
KdPrint(("now = %0x, old = %0x", now, old));
没有定义ULONG t时,栈刚好巧合对上KdPrint的now、old参数吧,多了t栈就对不上了,像上面这样把所有参数都括起来就没问题了。
aimsam 2012-04-29
- 打赏
- 举报
唉唉,是我太粗心了。。
Lactoferrin 2012-04-28
- 打赏
- 举报
kd要这样
KdPrint (("now = %0x, old = %0x" , now, old ));
KdPrint (("now = %0x, old = %0x" , now, old ));
Lactoferrin 2012-04-28
- 打赏
- 举报
说不定就是你那两个函数的错误
aimsam 2012-04-28
- 打赏
- 举报
自顶、、、
