强制读写进程内存的一点研究成果

马大哈

回复 Lgc小孩修电脑 的帖子

呃.......确实好久木来了- -!!

Lgc小孩修电脑

回复 ok100fen 的帖子

不知道你在说了么...
内存空间不能跨进程访问的原因主要在于不同进程都有自己的页目录和页表。进程切换的很大一块也就是切换掉页目录。
每个Windows进程都有一个相对应的执行体进程EPROCESS,也就是里面存有很多信息啦
比如进程的许多属性, 还有指针
nt!_KPROCESS
   +0x000 Header           : _DISPATCHER_HEADER
   +0x010 ProfileListHead  : _LIST_ENTRY
   +0x018 DirectoryTableBase : [2] Uint4B

DirectoryTableBase[0]放的就是页目录,DirectoryTableBase[1]就是页表了

系统就是根据这里的页表和页目录来进行虚拟内存转换...只要我们在这里做个手脚{:3_52:}

比如我想写（破坏进程内存）要结束进程的内存，只需要把那个进程的DirectoryTableBase改成跟这个一样，然后直接写那个进程的内存就搞定了.....
修改傀儡进程的EPROCESS.Pcb.DirectoryTableBase[0]跟EPROCESS.Pcb.DirectoryTableBase[1]为目标进程的内容  
然后 你破坏僵尸内存的同时 也破坏了你要结束的那个进程的内存

ok100fen

你说的关于“页表和页目录”的知识在哪有？

是关于什么方面的书？

Tesla.Angela

回复 ok100fen 的帖子

书在这里：http://www.m5home.com/bbs/forum.php?mod=viewthread&tid=4708&extra=page%3D1
不过是全英文的。

ydj404606848

膜拜先

Tesla.Angela

回复 ydj404606848 的帖子

没神马好膜拜的。。。你发点源码，或者发点科普文章，就可以下载了。

ipaddress8086

谢谢 Tesla.Angela 管理员 我下载这附件 但好像 Firefox 浏览器 好像不能下载附件 要用IE6才能 所以大家下载时候要换浏览器

324190121

看看权限够不够先

Xor

这个好，顶了！

太寂寞

阅读权限太高了撒

lyl2523

没钱下载啊。。。。。:L

basketwill

貌似 不错啊

a627414850

牛人也多，菜菜也多！！！{:soso_e146:}

Cbx

麻烦给我发份 deviceobject@gmail.com

346022142

看看我买得起吗

bingle

看看怎么个绕过的法子哦   呵呵呵

dico

这个要用驱动么？支持64位么

LZJzhu

和CR3 的方法应该是异曲同工吧

kxgsmk99

好东西 要顶一下的  不要走人哦

kxgsmk99

好东西就看看啊  

wangweillll

学习了

布娃娃

看不懂啊{:soso_e109:}

qwerasdf

都怪老妈生的晚，来晚了，学习学习，

WG102514

顶顶！！！！！！！！！！！！！！

zerovos

买了，穷啊，顶一下再说

DevilLiao

楼主厉害啊

shuxuliang

虽然没有下载附件 但是大体知道什么原理了。。

shuxuliang

X64应该也可以用同样的方式实现把？

qq503407184

膜拜

wonderzdh

这是32位的吧，下载来看看，谢谢楼主。

upring

源代码真不错{:soso_e195:}

rtfkill

32位的下载学习学习，还是小白看看