设为首页
收藏本站
切换到窄版
账号
自动登录
找回密码
密码
登录
加入我们
只需一步,快速开始
快捷导航
网站首页
老马博客
迦南天空
阿杰软件
电脑散热
会员动态
Space
论坛广场
BBS
新人必读
亮叔杂谈
天猫店铺
京东店铺
免费实用软件下载
内核编程技术展示
搜索
搜索
本版
帖子
用户
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛
»
论坛广场
›
置顶区
›
WINDOWS核心编程
›
转换物理地址
返回列表
发新帖
查看:
3467
|
回复:
2
转换物理地址
[复制链接]
HookSuccess
HookSuccess
当前离线
积分
63
8
主题
39
回帖
0
精华
铜牌会员
铜牌会员
, 积分 63, 距离下一级还需 257 积分
铜牌会员
, 积分 63, 距离下一级还需 257 积分
积分
63
收听TA
发消息
发表于 2020-7-23 09:48:46
|
显示全部楼层
|
阅读模式
在不使用:KeStackAttachProcess 的情况下
假如要读另一个进程的 0x401000位置
想通过映射物理内存实现
已经映射了他的CR3 物理内存,怎么样算出 0x401000 对应的物理内存
我只想到了一个笨方法 就是 映射CR3 -> PXE ->PPE ->PDE ->PTE 这样一下一下的映射
有没有什么好方法不用这么麻烦。映射这些物理内存 在高版本系统还有限制,还得绕好麻烦
回复
举报
Tesla.Angela
Tesla.Angela
当前离线
积分
36130
857
主题
2632
回帖
2
精华
管理员
此生无悔入华夏, 长居日耳曼尼亚。
积分
36130
收听TA
发消息
发表于 2020-7-25 03:00:14
|
显示全部楼层
在WIN7以及之前的系统,只需要自己读取/设置CR3就可以操作进程内存了,虽然在大量使用的情况下会蓝屏。
WIN8之后此路不通了。然而因为PG的关系,各路驱动都“老实”了很多,所以自WIN8开始,我又用回了标准方法,至于有没有特殊途径实现操作进程内存,我也不得而知了。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复
举报
blackbox
blackbox
当前离线
积分
116
5
主题
46
回帖
0
精华
铜牌会员
铜牌会员
, 积分 116, 距离下一级还需 204 积分
铜牌会员
, 积分 116, 距离下一级还需 204 积分
积分
116
收听TA
发消息
发表于 2021-10-29 16:36:12
|
显示全部楼层
目前都是你这种方法,没有其他更好的方法
回复
举报
返回列表
发新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
加入我们
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
浏览过的版块
支持库收集
快速回复
返回顶部
返回列表
发表于 2020-7-23 09:48:46
发表于 2020-7-25 03:00:14
