[pso] [Tema1][Win] interceptor test - Reply
Alex Drenea
alexdrenea at gmail.com
Sat Apr 5 15:09:53 EEST 2008
Dupa cum spuneam si in primul mail, codul cu care fac afisarea in sci si
test este :
sci.c:
NTSTATUS genericHandler()
{
int* old_stack;
...
_asm mov old_stack, ebp
_asm add old_stack, 8
...
DbgPrint("old : %x %x %x",old_stack[0], old_stack[1], old_stack[2] );
...
}
test.c:
int do_monitor(const char *str)
{
...
for(i=0; i<sano; i++)
args[i]=rand();
printf("calling params : %x %x %x", args[0], args[1], args[2]);
...
}
Singura diferenta fata de exemplul din curs este ca old_stack este int* si
nu void* (ceea ce nu cred ca e o problema )
Cred ca logarea o fac corect deoarece in test.exe, in find_log() verific
ceea ce este scris in pachetul de log
si gasesc intr-adevar exact aceleasi valori care le scriu ( si scriu exact
aceste valori care le afisez aici : old_stack).
2008/4/5 Razvan Deaconescu <razvand at cs.pub.ro>:
> On Sat, 2008-04-05 at 11:21 +0300, Alex Drenea wrote:
> > Imi cer scuze pentru ambiguitate.
> > Sa clarific. Parametrii generati in test.exe NU corespund cu cei pe
> > care ii citesc in driver in genericHandler.
> >
> > Cu toate acestea, functia apelul de sisten, pid-ul, si chiar si
> > valoarea de return sunt bune ( le compar in functia find_log() ).
> > Diferentele apar doar la nivelul parametrilor syscall_args
>
> Deci tu afisezi atat in test argumentele cat si in interceptor si
> rezulta ca sunt diferite. Cum faci aceasta afisare? Faci afisare in
> hexa? Ai initializat old_stack cu ebp+8?
>
> Imi vine greu sa cred ca primesti parametri aiurea si ca, totusi, apelul
> original merge cum trebuie. Cred ca afisezi tu ce nu trebuie. Si aceeasi
> afisare care nu trebuie o faci si in momentul logging-ului. Asta este
> cauza pentru care nu functia de verificare a log-ului din test se
> blocheaza (nu corespund argumentele dorite cu cele asteptate).
>
> Cel mai probabil, dupa parerea mea, completezi necorespunzator
> parametrii in sturtura IO_ERROR_LOG_PACKET. Vezi daca modul in care
> completezi structura corespunde cu ce spune documentatia[1]
>
> Razvan
>
> [1] http://www.osronline.com/ddkx/kmarch/other_4t2f.htm
>
>
>
> --
> This message has been scanned for viruses and
> dangerous content by MailScanner, and is
> believed to be clean.
>
> _______________________________________________
> pso mailing list
> pso at cursuri.cs.pub.ro
> http://cursuri.cs.pub.ro/cgi-bin/mailman/listinfo/pso
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://cursuri.cs.pub.ro/pipermail/pso/attachments/20080405/d9f9e949/attachment.htm
More information about the pso
mailing list