关于TP——CF遍历模块蓝屏

chilun

兄弟们，CF，遍历模块就蓝呀。一朋友说：
奇淫的一个小技巧，一年前就解决了.
解决方法就是地址有效时正常正常遍历，地址无效时给值:MmUserProbeAddress
没搞明白？哪位解释一下

Tesla.Angela

不知道你怎么遍历的。
在没有VT的情况下，TP只不过是修改了EPROCESS->DTB的值，让你正常手法（包括自己切换CR3的手法）都失效了而已。解决方法是在它线程上下文里遍历就行了。
当然这也是1年之前的情况了，现在啥情况不太清楚。

PS：为啥不通过遍历VAD或NtQueryVirtualMemory来实现枚举模块？