请教下怎么inline hook win32k的函数？

565710420 · 发表于 2011-12-7 15:40:33

如果像普通的inline hook会蓝屏。
求教需要注意点什么

马大哈 · 发表于 2011-12-7 21:19:58

记得在内核里HOOK的话是不是要注意中断的问题?

565710420 · 发表于 2011-12-9 13:36:32

马大哈发表于 2011-12-7 21:19
记得在内核里HOOK的话是不是要注意中断的问题?

不是的。
解决了，KeAttachProcess 到 csrss.exe

马大哈 · 发表于 2011-12-9 14:24:03

原来你不是在内核里啊?

Tesla.Angela · 发表于 2011-12-9 21:34:06

本来还想给你一份完整SRC的，既然解决了就算了。

565710420 · 发表于 2011-12-11 16:04:20

不是呢，在内核里面
访问win32k内存必需附加到一个GUI进程才能

话说，我在CSDN上遇到老马嘿嘿

Tesla.Angela · 发表于 2011-12-12 15:10:09

565710420 发表于 2011-12-11 16:04
不是呢，在内核里面
访问win32k内存必需附加到一个GUI进程才能

马大哈是CSDN上的名人！

siyimase · 发表于 2011-12-19 09:56:11

565710420 发表于 2011-12-11 16:04
不是呢，在内核里面
访问win32k内存必需附加到一个GUI进程才能

win32K内存？麻烦解释下，谢谢

mrkrcl · 发表于 2012-2-1 14:46:17

看来楼主应该是没有看过教主的一篇博文，不然不会出现上述问题了~ {:soso_e113:}

Tesla.Angela · 发表于 2012-2-1 15:40:06

mrkrcl 发表于 2012-2-1 14:46
看来楼主应该是没有看过教主的一篇博文，不然不会出现上述问题了~ ...

哪篇？

mrkrcl · 发表于 2012-2-1 21:05:32

Tesla.Angela 发表于 2012-2-1 15:40
哪篇？

http://hi.baidu.com/_achillis/blog/item/da88bb195b75ef0c34fa4173.html

Tesla.Angela · 发表于 2012-2-2 23:33:10

mrkrcl 发表于 2012-2-1 21:05
http://hi.baidu.com/_achillis/blog/item/da88bb195b75ef0c34fa4173.html

随便看了下，化为一句话：
除了system和smss.exe之外的所有进程都可以访问win32k.sys的内存空间。

账号		自动登录	找回密码
密码			加入我们