今天从赛思的blog上看到郭德纲的blog链接http://blog.sina.com.cn/guodegang

挺喜欢他的相声的，随便逛了下，看到一个演出布告

『德云社』演出地点之一【天桥乐茶园】

（下午场，每周五、六、日下午14：00开始演出）

 

地点：宣武区北纬路乙1号  （北纬路东口路北，天桥剧场斜对面）

售票：周一开始每日中午12：00至17：00

票价：前四排30元/位；后四排20元/位；正包厢60元/位；侧包厢50元/位；

 

该好好思过下了

今天赛思到处为Bedell同志的blog打广告。

发现bedell的版面风格改了，全黑色调。说要增加深度！

 

#define SYSCALL(_idx)  (KeServiceDescriptorTable->ServiceTableBase[ _idx ])

 

对ZwXXXXXXX函数进行SSDT hook

当卸载后出现BSOD

 

原因：A驱动先修改了KeServiceDescriptorTable->ServiceTableBase中ZwXXXXXXX函数的地址；

然后，我又保存了A驱动修改后的这个地址；

再然后，A驱动恢复了KeServiceDescriptorTable->ServiceTableBase；

再再然后，A撤了；

再再再然后，我恢复了我保存的那个地址，结果这个地址是A驱动中的；

再再再再再然后，我还没来得及逃，BSOD

 

解决：我在恢复SSDT时，先检查我保存的那个地址是否还有效，如果无效，就不要恢复了，虽然不是完美的解决方案，但是也凑合，

希望以后所有进行SSDT HOOK的在恢复的时候都检查下自己保存的地址是否还有效，减少BSOD~~

恢复SSDT部分代码如下：

if (TRUE == g_HookFuns[iLoop].bHooked)
        {
            if (SYSCALL(g_HookFuns[iLoop].ulIndex)
                != (unsigned int)g_HookFuns[iLoop].realFun)   //ssdt was changed by others？
            {
                if (TRUE == MmIsAddressValid(g_HookFuns[iLoop].realFun)) //检查保存的函数的地址有效性
                {
                    SYSCALL(g_HookFuns[iLoop].ulIndex) = (unsigned int)g_HookFuns[iLoop].realFun;
                }
            }else{
                SYSCALL(g_HookFuns[iLoop].ulIndex) = (unsigned int)g_HookFuns[iLoop].realFun;
            }
            g_HookFuns[iLoop].bHooked = FALSE;
        }