萦萦 发表于 2012-2-19 15:50:02

不少人不知道怎么过完美的DbgkpProcessDebugPortMutex,高手飘过

不少人不知道怎么过完美的DbgkpProcessDebugPortMutex,高手飘过
修改DbgkpProcessDebugPortMutex后调试程序就会让你的调试器死掉关都关不掉只有重新启动,OK,有这个症状的就是DbgkpProcessDebugPortMutex被修改了

其原理是:
利用DebugAPI 调试程序时(od就是利用DebugAPI),系统通过 DbgkForwardException 函数给调试器发送异常等消息。DbgkForwardException 函数又会调用 DbgkpSendApiMessage 函数给调试对象发送调试消息。DbgkpSendApiMessage 再调用 DbgkpQueueMessage 函数把调试消息插入到调试对象的事件队列里面,插入前先获取一个 DbgkpProcessDebugPortMutex 快速互斥体。
根据调试器的这个流程,我们可以写一个驱动始终占有 DbgkpProcessDebugPortMutex,那么被调试进程就会挂在内核代码里面,始终得不到执行

知道原因就好办了
**** Hidden Message *****

a6226023 发表于 2012-2-21 13:27:18

哦看看怎么解决的

liuyh7788 发表于 2012-2-21 15:27:58

看看什么东东?

zhangchenggu 发表于 2012-2-21 19:30:20

回复 1# 萦萦


    完美的有保护

zhangchenggu 发表于 2012-2-24 21:47:08

楼主你能共享下这个调试工具吗?

qq951633199 发表于 2012-5-2 09:17:55

方法方法方法方法方法

ychbsa 发表于 2012-5-2 11:39:15

看看。。。。

h2995527 发表于 2012-5-10 16:21:06

断点!!!!!!!!

qtghkat 发表于 2012-8-30 19:46:35

看看是怎么解决的

f74108 发表于 2012-10-9 09:48:51

哦看看怎么解决的
页: [1] 2 3 4
查看完整版本: 不少人不知道怎么过完美的DbgkpProcessDebugPortMutex,高手飘过