转换物理地址
在不使用:KeStackAttachProcess 的情况下假如要读另一个进程的 0x401000位置
想通过映射物理内存实现
已经映射了他的CR3 物理内存,怎么样算出 0x401000 对应的物理内存
我只想到了一个笨方法 就是 映射CR3 -> PXE ->PPE ->PDE ->PTE 这样一下一下的映射
有没有什么好方法不用这么麻烦。映射这些物理内存 在高版本系统还有限制,还得绕好麻烦 在WIN7以及之前的系统,只需要自己读取/设置CR3就可以操作进程内存了,虽然在大量使用的情况下会蓝屏。
WIN8之后此路不通了。然而因为PG的关系,各路驱动都“老实”了很多,所以自WIN8开始,我又用回了标准方法,至于有没有特殊途径实现操作进程内存,我也不得而知了。 目前都是你这种方法,没有其他更好的方法
页:
[1]