程序博客网 > linux top怎么退出

PsSetLoadImageNotifyRoutine回调函数中使用NtProtectVirtualMemory卡死原因

来源:互联网 发布:linux top怎么退出 编辑:程序博客网 时间:2024/04/30 00:12

dll加载的回调应该是在MiMapViewOfSection->MiMapViewOfImageSection里吧,首先在前者调用后者前 会KeAcquireGuardedMutex (&((PROCESS)->AddressCreationLock));来进行同步NtProtectVirtualMemory->MiProtectVirtualMemory也会使用宏LOCK_ADDRESS_SPACE (Process);同样需要这个AddressCreationLock,可能会因此卡死吧。


以下部分内容来自WRK
先看两个宏
代码:


#define LOCK_ADDRESS_SPACE(PROCESS)                                  \
            KeAcquireGuardedMutex (&((PROCESS)->AddressCreationLock));
            
#define UNLOCK_ADDRESS_SPACE(PROCESS)                               \
            KeReleaseGuardedMutex (&((PROCESS)->AddressCreationLock));


这个锁的位置在EPROCESS里面,偏移在各个系统应该也不一样,所以要用的话得自己根据系统版本硬编码了。下面这个是XP的:
代码:
nt!_EPROCESS
   +0x000 Pcb              : _KPROCESS
   +0x06c ProcessLock      : _EX_PUSH_LOCK
   +0x070 CreateTime       : _LARGE_INTEGER
   +0x078 ExitTime         : _LARGE_INTEGER
   +0x080 RundownProtect   : _EX_RUNDOWN_REF
   +0x084 UniqueProcessId  : Ptr32 Void
   +0x088 ActiveProcessLinks : _LIST_ENTRY
   +0x090 QuotaUsage       : [3] Uint4B
   +0x09c QuotaPeak        : [3] Uint4B
   +0x0a8 CommitCharge     : Uint4B
   +0x0ac PeakVirtualSize  : Uint4B
   +0x0b0 VirtualSize      : Uint4B
   +0x0b4 SessionProcessLinks : _LIST_ENTRY
   +0x0bc DebugPort        : Ptr32 Void
   +0x0c0 ExceptionPort    : Ptr32 Void
   +0x0c4 ObjectTable      : Ptr32 _HANDLE_TABLE
   +0x0c8 Token            : _EX_FAST_REF
   +0x0cc WorkingSetLock   : _FAST_MUTEX
   +0x0ec WorkingSetPage   : Uint4B
   +0x0f0 AddressCreationLock : _FAST_MUTEX   
   +0x110 HyperSpaceLock   : Uint4B
   +0x114 ForkInProgress   : Ptr32 _ETHREAD
   +0x118 HardwareTrigger  : Uint4B


在加载PE文件时NtMapViewOfSection会调用这个:  
代码:
          
MmMapViewOfSection
{
//
    // Get the address creation mutex to block multiple threads
    // creating or deleting address space at the same time.
    //
  
    LOCK_ADDRESS_SPACE (Process);
    
    //Map Image
    status = MiMapViewOfImageSection (ControlArea,
              Process,
              CapturedBase,
              SectionOffset,
              CapturedViewSize,
              Section,
              InheritDisposition,
              ZeroBits,
              AllocationType,
              ImageCommitment);
                                              
  UNLOCK_ADDRESS_SPACE (Process);


}


//在这个函数里调用回调
MiMapViewOfImageSection
{
    ......
    PsCallImageNotifyRoutines();//此时锁是Lock状态
    ......
}
所以,你要在NotifyRoutine里先UNLOCK_ADDRESS_SPACE,然后调用ZwProtectVirturlMemory修改属性,完事儿再LOCK_ADDRESS_SPACE,这样就可以愉快地Patch了。
但是用了硬编码,感觉就不完美了。。。

0 0
linux top怎么退出 linux top怎么退出
原创粉丝点击
热门IT博客
数据整合的意义数据整合的意义
淘宝客拉人宣传单淘宝客拉人宣传单
七天网络查分网页登录
微信打赏源码
三国志3优化版1.76
java在线运行
任子行网络怎么样
华硕驱动升级软件
linux 重启apache php
融信普惠网络借贷信息
单片机stc90c52rc
房子效果图设计软件
java影院售票系统
读读日报和知乎日报
阶乘用算法怎么表示
淘宝情趣我内衣模特
linux 禁止指定ip访问
淘宝网能用微信支付吗
mac 显示左面
淘宝支付用不了花呗
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 保险退保能退多少 保险退保 平安保险退保 好医保怎么退保 医保退保 医保怎么退保 退保 平安保险退保流程 平安福退保现金价值表 退保流程 平安退保 保险怎么退保 车险退保 平安保险退保能退多少 平安退保怎么办理 全民保怎么退保 支付宝相互保怎么退 全民保退保 社保退保 保险退保流程 分红型保险退保好亏 犹豫期退保技巧 平安退保流程 保险可以退保吗 保险犹豫期退保流程 支付宝全民保退保教程 退保需要什么手续 国寿鑫如意退保 分红保险退保能退多少 商业保险退保能退多少 蚂蚁保险怎么退保 平安保险怎么退保 平安福2018年退保现金表 保单不满一年退保要扣多少钱 平安保险如何退保 为什么业务员怕你退保 支付宝好医保怎么退保 支付宝医保怎么退保 平安福2018一年退保能退多少钱 打95511可以直接退保吗 支付宝养老金怎么退保

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里