Хак ядра NT

       

перехват отладочного


Поскольку, функция DbgPrint не относится к числу интенсивно вызываемых, то вероятность, что какой-то поток вызовет ее одновременно с установкой перехватчика, достаточно невелика и все "как бы" работает. Однако, если один или несколько драйверов начнут злоупотреблять отладочным выводом, вероятность краха системы значительно возрастет, поэтому в последующих версиях Руссинович отказался от небезопасного способа перехвата и перешел на модификацию таблицы экспорта ntoskrnl.exe. Новичкам, похитившим этот примем и попытавшихся употребить его для перехвата функций ввода/вывода пришлось намного хуже и голубые экраны выпрыгивали только так!



Содержание раздела