Tesla.Angela 发表于 2014-6-2 19:15:40

《WIN64驱动教程》补充[3]:关于切换CR3读写进程内存

作者:Tesla.Angela

自行切换CR3强制读写进程内存的方法,着实是非常爽。可惜,这个爽有个限度:只支持XP至WIN7。从WIN8开始,这个很爽的方法经常会无效,原因未知。不过,也有标准的方法“强制”读写进程内存:使用KeStackAttachProcess+RtlCopyMemory。KeStackAttachProcess后续会调用KiAttachProcess,在WIN32下很有可能被HOOK。对抗HOOK KiAttachProcess的方法也不难:1.通过KeStackAttachProcess和KeAttachProcess定位KiAttachProcess;然后内核解析PE获得原始机器码并恢复。2.也可以通过重载内核绕过全部钩子。
**** Hidden Message *****

5ak 发表于 2024-1-1 09:07:57

学习了

sam7894604 发表于 2024-1-3 21:32:33

学习了

zf0815zj 发表于 2024-1-3 22:18:21

学习了

xtfpg 发表于 2024-1-9 15:06:03

再瘦10斤

ruin1990 发表于 2024-1-12 17:46:07

受教了啊

baggiowangyu 发表于 2024-1-26 13:58:44

2024补充学习

sound 发表于 2024-2-6 23:06:14

学习一下

iop02008 发表于 2024-3-9 22:19:46

看看好东西

376408384 发表于 2024-3-12 09:58:34

我来学习
页: [1] 2
查看完整版本: 《WIN64驱动教程》补充[3]:关于切换CR3读写进程内存