共同探讨WinPE的24小时重启之谜

netwinxp

他那个又不是CHS版的，你用它当然有问题啦，还是直接杀了的办法好，还不占内存。

netwinxp

他那个图是XP系统，可惜啥都放在桌面上，小心系统盘一出问题全没了。

netwinxp

这个是解除24小时限制的？我先抄下来，==分析分析

netwinxp

Hook还麻烦了，不如Kill或Modify

netwinxp

发现一个很有意思的问题，虽然NtShutDownSystem是从Ntdll.dll导出的函数，但Ntdll只是简单地赋给EAX一个F9H的值(NT4为B5H、2000为D9H、2003为101H)然后就直接CALL了，奇怪的是CALL的那个地址居然不是Win32k.sys、Ntoskrnl.exe、HAL*.DLL、Kernel32.dll这些核心文件的地址，后经不断追踪发现居然是INT 2EH，看来如果我们把参数直接传给INT 2EH所在的地址也一样可以关机了(这好像能解决老九的CMDPE不能关机的问题)，只是这个INT 2EH的服务到底是谁创建的呢?:o

[ 本帖最后由 netwinxp 于 2007-7-31 06:01 PM 编辑 ]

netwinxp

看到一本书介绍，好像关机是Winlogon和SMSS共同起作用的，当然，如果直接调用NTDLL.DLL也的NtShutDownSystem可以关机，不过不回写I/O缓存、关闭所有驱动器，有可能造成数据丢失。我怀疑smss.exe也有猫腻。