关于win32kfull.sys #3
Description
我在去年使用过这个源码 直接就能用很完美
但是最近重写cv了一下,出了点问题会蓝屏,与debug看了一下崩溃的地方,是在initialize里,特征码定位ChangeWindowTreeProtection的时候崩溃了,于是想起来win32kfull.sys的模块在不附加相关GUI线程时时是为空的,于是在特征码定位前后KeStackAttachProcess附加了"winlogon.exe",初始化这里没问题了(这是第一个与当初直接CV运行不一样的地方,当时没有任何修改直接能用这套代码)
之后修了之后又有一个崩溃,就是调用
'g_ChangeWindowTreeProtection(wnd_ptr, attributes);'
的时候会崩溃
这个目前我还不知道原因,对比了ida,获取到的ChangeWindowTreeProtection函数地址是对的,但是一调用就会蓝屏
与去年使用的环境区别是,去年是用的普通加载驱动和IO通讯,而今年是映射加载驱动,并且使用内核挂钩的方式自定义进行的通讯
不知道有没有大佬能解惑!