[pso] [Tema1][win] Problema la interceptare sys_call
Alex Drenea
alexdrenea at gmail.com
Wed Apr 2 11:55:56 EEST 2008
dap, treaba aia cu "last syscall number" pe mine m-a derutat teribil.
Initial credeam ca reprezinta numarul ultimului apel de sistem executat :| ,
insa apoi m-am luminat. Din pacate chiar daca ajunsesem sa inteleg ce
insemna campul l-am setat prost si nu am realizat
ca acolo era eroarea.
Oricum, pentru cei mai au nevoie, sau pentru cei din anii urmatori :p, pun
aici un link catre o pagina care m-a ajutat mult in a ma dumirii cum e
treaba cu KeSDT :
http://www.stanford.edu/~stinson/misc/curr_res/hooks/nt_hooking.txt (urmariti
inclusiv linkurile de la bibliografie)
2008/4/2 Razvan Deaconescu <razvand at cs.pub.ro>:
> On Wed, 2008-04-02 at 09:59 +0300, Marius Nicolae wrote:
> > 2008/4/2 Alex Drenea <alexdrenea at gmail.com>:
> > > Incredibil.... stiam eu ca e ceva extrem de simplu... Chiar daca
> > pentru
> > > noua structura KeSDT aveam grija sa aloc vectorii cu dimensiunea
> > > MY_SYSCALL_NO + 1 din motive care nu mi le pot
> > > imagina acum, setam ls-ul la MY_SYSCALL_NO.
> >
> > Din comentariile din sursa rezulta ca ls ar fi "last system call
> > number" deci ai crede ca trebuie sa pui MY_SYSCALL_NO
> > dar de fapt este ceva de genul "lenght of syscall table" deci trebuie
> > pus MY_SYSCALL_NUMBER+1
>
> Da, sursa nu este intuitiva in denumire. Documentatia oficiala pentru
> structura tabelei de descriptori Windows o reprezinta sursele[1].
>
> Dupa cum puteti observa, campurile sunt denumite oficial:
> Base - tabele de servicii
> Count - tabele de debug
> Limit - dimensiunea tabelei de servicii (_nu_ ultimul apel din tabela)
> Number - tabela de dimensiuni ocupate de argumentele fiecarui serviciu
>
> Razvan
>
> [1] http://cs.pub.ro/~pso/lxr/source/base/ntos/ke/kiinit.c?v=wrk-1.2#391
>
>
> --
> This message has been scanned for viruses and
> dangerous content by MailScanner, and is
> believed to be clean.
>
> _______________________________________________
> pso mailing list
> pso at cursuri.cs.pub.ro
> http://cursuri.cs.pub.ro/cgi-bin/mailman/listinfo/pso
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://cursuri.cs.pub.ro/pipermail/pso/attachments/20080402/345357db/attachment.htm
More information about the pso
mailing list