|
作者:Tesla.Angela
自行切换CR3强制读写进程内存的方法,着实是非常爽。可惜,这个爽有个限度:只支持XP至WIN7。从WIN8开始,这个很爽的方法经常会无效,原因未知。不过,也有标准的方法“强制”读写进程内存:使用KeStackAttachProcess+RtlCopyMemory。KeStackAttachProcess后续会调用KiAttachProcess,在WIN32下很有可能被HOOK。对抗HOOK KiAttachProcess的方法也不难:1.通过KeStackAttachProcess和KeAttachProcess定位KiAttachProcess;然后内核解析PE获得原始机器码并恢复。2.也可以通过重载内核绕过全部钩子。
|
|