如何计算KdDisableDebuggerWithLock()地址?

MOOD 2020-06-03 02:04:34
//计算KdDisableDebuggerWithLock()地址
ulKdDisableDebuggerWithLock = (ulKdDisableDebugger + 2) + *(ULONG*)(ulKdDisableDebugger + 3) + 5;

这句造成蓝屏,*(ULONG*)(ulKdDisableDebugger + 3)有问题,怎么写才对?
...全文
41 回复 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复
oracle反调试,Win7 x86内核调试与TP反调试的研究
TP会使用IoAllocateMdl对KdEnterDebugger进行映射,检测当前的KdEnterDebugger值 我们通过Hook IoAllocateMdl来将映射地址更换到别的为0的地方 三、针对TP不停的调用KdDisableDebugger来清0 KdDebuggerEnabled来反...
记录一下对TP的研究
来处理内核态的异常,当内核态发生异常时,KiDispatchException函数会调用全局变量KiDebugRoutine所指向的函数,当调试引擎启用时,这个变量的值是KdpTrap函数的地址,所以一旦异常发生时,系统就会调用KdpTrap。...
WinDbg调试流程的学习及对TP反调试的探索
每一个元素为BREAKPOINT_ENTRY结构,用来描述一个断点,包括断点地址。   然后开始动手,打开Windbg,调试虚拟机(Win7 x86 sp1) Ctrl+Break 断下来,输入k 命令观察断点的栈回溯,观察到最后的几个函数: ...
Win7 x86内核调试与TP反调试的研究
来处理内核态的异常,当内核态发生异常时,KiDispatchException函数会调用全局变量KiDebugRoutine所指向的函数,当调试引擎启用时,这个变量的值是KdpTrap函数的地址,所以一旦异常发生时,系统就会调用KdpTrap。...
vista debug
KdDisableDebuggerWithLock = <no type information>81d752be nt!NtCreateDebugObject = <no type information>81d75820 nt!DbgkClearProcessDebugObject = <no type information>81d761cd nt!NtRemoveProcessDebug ...
C语言

70,023

社区成员

243,263

社区内容

发帖
与我相关
我的任务
社区描述
C语言相关问题讨论
社区管理员
  • C语言
  • 花神庙码农
  • 架构师李肯
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章