DP
Упростить имеется ввиду убираем пока часть функционала
Size: a a a
2020 August 08
DP
Убеждаемся что работает более простой вариант
VD
Евгений Горелов
народ подскажите кой-что
ищу где записан Pid в PEPROCESS
за ним идет структура PLIST_ENTRY
когда пытаюсь обратится к currListEntry->Blink
наступает хана компу)
DWORD32 *buffer = (DWORD32 *)pIrp->AssociatedIrp.SystemBuffer;есть такой код
DWORD32 processesPid = *buffer;
PEPROCESS process;
NTSTATUS status = PsLookupProcessByProcessId(processesPid, &process);
if (!NT_SUCCESS(status))
{
return;
}
PULONG ptr = (PULONG)process;
ULONG offset = 0;
for (ULONG i = 0; i < 512; i++)
{
if (ptr[i] == processesPid)
{
offset = (ULONG)&ptr[i + sizeof(INT_PTR)] - (ULONG)process;
break;
}
}
if (!offset)
{
return;
}
PLIST_ENTRY currListEntry = (PLIST_ENTRY)((ULONG)process + offset);
DbgPrint("Current: %#x", process);
DbgPrint("Prev: %#x", currListEntry);
DbgPrint("process: %#x", process);
DbgPrint("offset: %#x", offset);
DbgPrint("blink: %#x", currListEntry->Blink);
ищу где записан Pid в PEPROCESS
за ним идет структура PLIST_ENTRY
когда пытаюсь обратится к currListEntry->Blink
наступает хана компу)
Дебаж. А вообще судя по всему ты нащупал адрес фреймбуфера или тип того.
ЕГ
Классно знать бы ещё как дебажить драйвер в кернелмоде
VD
Евгений Горелов
Классно знать бы ещё как дебажить драйвер в кернелмоде
Принтфом)))
ЕГ
Ну так там в коде на притэфе и вылитает))
AB
+, логируй все, что логируется, и смотри потом
VD
Евгений Горелов
Ну так там в коде на притэфе и вылитает))
Так логируй не после всего, а после каждой строки. И постепенно сужай область факапа.
ЕГ
Ладно, думал мож кто на глаз увидит, чё я там на говнокодил
AB
Евгений Горелов
народ подскажите кой-что
ищу где записан Pid в PEPROCESS
за ним идет структура PLIST_ENTRY
когда пытаюсь обратится к currListEntry->Blink
наступает хана компу)
DWORD32 *buffer = (DWORD32 *)pIrp->AssociatedIrp.SystemBuffer;есть такой код
DWORD32 processesPid = *buffer;
PEPROCESS process;
NTSTATUS status = PsLookupProcessByProcessId(processesPid, &process);
if (!NT_SUCCESS(status))
{
return;
}
PULONG ptr = (PULONG)process;
ULONG offset = 0;
for (ULONG i = 0; i < 512; i++)
{
if (ptr[i] == processesPid)
{
offset = (ULONG)&ptr[i + sizeof(INT_PTR)] - (ULONG)process;
break;
}
}
if (!offset)
{
return;
}
PLIST_ENTRY currListEntry = (PLIST_ENTRY)((ULONG)process + offset);
DbgPrint("Current: %#x", process);
DbgPrint("Prev: %#x", currListEntry);
DbgPrint("process: %#x", process);
DbgPrint("offset: %#x", offset);
DbgPrint("blink: %#x", currListEntry->Blink);
ищу где записан Pid в PEPROCESS
за ним идет структура PLIST_ENTRY
когда пытаюсь обратится к currListEntry->Blink
наступает хана компу)
offset в улонгах считаешь, а парой строк ниже прибавляешь в байтах
AB
Даже винапи не предполагает такого обилия кастов на квадратную строку кода
ЕГ
Да я ж только залез в эту скользкую тему, руткиты читаю)
AB
Вирусы пишешь небось?
ЕГ
Ага, вот начал читать и сразу вирус)
ЕГ
Думаю дай напишу)
AB
Проблема вероятно в адресной армфметике
ЕГ
Ну да, явно
AB
Но без трех окон с открытым мсдн тут не обойтись
ЕГ
Хотя вроде адрес нормальный выводится
VD
Проблема вероятно в адресной армфметике
++. Зафакапил конверсию небось.