转换物理地址

HookSuccess · 发表于 2020-7-23 09:48:46

在不使用：KeStackAttachProcess 的情况下

假如要读另一个进程的 0x401000位置
想通过映射物理内存实现
已经映射了他的CR3 物理内存，怎么样算出 0x401000 对应的物理内存

我只想到了一个笨方法就是映射CR3 -> PXE ->PPE ->PDE ->PTE 这样一下一下的映射
有没有什么好方法不用这么麻烦。映射这些物理内存在高版本系统还有限制，还得绕好麻烦

Tesla.Angela · 发表于 2020-7-25 03:00:14

在WIN7以及之前的系统，只需要自己读取/设置CR3就可以操作进程内存了，虽然在大量使用的情况下会蓝屏。

WIN8之后此路不通了。然而因为PG的关系，各路驱动都“老实”了很多，所以自WIN8开始，我又用回了标准方法，至于有没有特殊途径实现操作进程内存，我也不得而知了。

blackbox · 发表于 2021-10-29 16:36:12

目前都是你这种方法，没有其他更好的方法

帐号		自动登录	找回密码
密码			加入我们