关于TP——CF遍历模块蓝屏
兄弟们,CF,遍历模块就蓝呀。一朋友说:奇淫的一个小技巧,一年前就解决了.
解决方法就是地址有效时正常正常遍历,地址无效时给值:MmUserProbeAddress
没搞明白?哪位解释一下 不知道你怎么遍历的。
在没有VT的情况下,TP只不过是修改了EPROCESS->DTB的值,让你正常手法(包括自己切换CR3的手法)都失效了而已。解决方法是在它线程上下文里遍历就行了。
当然这也是1年之前的情况了,现在啥情况不太清楚。
PS:为啥不通过遍历VAD或NtQueryVirtualMemory来实现枚举模块?
页:
[1]