|
|
|
通过切换cr3 读取指定进程(普通程序)的内存
碰上缺页BugCheck都算不错了,严重点直接卡死 |
|
[求助]内核层如何检查进程是否已经结束?(已解决,感谢大佬)
最靠谱的方法,NtQuerySystemInformation的ProcessAndThreadInformation列举的进程ID全部都是有效进程,其他各种硬编码找信息的都是玩蛇
最后于 2020-11-7 23:44
被hhkqqs编辑
,原因:
|
|
[求助]Windows内核映射内存到任意内核地址是否可行?
MengXP 是的,这种成不成功主要看脸,动页表肯定是最稳定的方案了,先用MmAllocateMappingAddress占坑,然后改页表就行了。不推荐直接改MmXXX内存对应的页表项,因为你要映射的2M内存在页表的布局不一定和MmXXX的一致。最好用MmXXX只申请两页的内存用于保存页表信息,把要映射的2M内存强行拆分出512个物理页填进去,再把这两页的物理页帧号填进两个连续空闲的PDE即可 |
|
[求助]Windows内核映射内存到任意内核地址是否可行?
用官方api有点看运气,成功率最高的方案我想到的有两种,一如楼上所说直接动页表,二是直接动protopte |
|
[求助]关于64位处理器运行32位指令的疑问
yy虫子yy 其实严格来说,不是86兼容模式,而是Windows下cs=23h表示32位代码段 mov eax, 1 32位代码段模式下对32位寄存器的操作会视为全长 而这时候64位CPU内部会自动对齐到8字 ...我也感觉是设计上统一了两种模式部分指令的实现机制,只不过Intel没有写进手册而已 |
|
[求助]关于64位处理器运行32位指令的疑问
tDasm 1.对32位寄存器的写操作和运算操作,则会对相应的64位寄存器的高32位清零。 如在x64dbg上实验,mov eax, 1和add eax, 1会使rax的高32位清零; xor eax ...你说的这些都是手册上的,完全没解释我主贴说的这种现象,86兼容模式能影响寄存器的高32位从未在任何官方手册出现过 |
|
[求助]关于64位处理器运行32位指令的疑问
Boring勇哥 使用Windbg跟踪一下就很容易看到结果:查询微软的文档(x64指令)可以看出,使用mov指令传送32位数据将会自动零扩展高32位,并没有说在哪个特定的处理器模式。巨硬和Intel的文档我都看过,他们明显只针对64位模式下没有movzxd给出零扩展的说法,压根没提过86兼容模式也会影响到完全不可见的高32位 |
|
[讨论]密码又找回来了,哈哈
膜拜论坛元老 |
|
[求助]文件驱动与2345安全卫士驱动的冲突问题的驱动定位(已解决)
你往虚拟机里装个同版本的2345卫士调试一下不就知道了,如果2345的驱动和你那个驱动都是minifilter,可能是其中某个驱动的文件IRP过滤处理的不好,传递到下一个驱动进行处理就gg了 |
|
[求助]文件驱动与2345安全卫士驱动的冲突问题的驱动定位(已解决)
rcx不一定是0哦,你看dump的寄存器信息都提示你了,某些寄存器的值可能已被清零或不准确 |
|
|
|
[讨论]驱动中如何隐藏进程和模块?
低调putchar 以前还没试过64位,现在改了写地方把以前的方法在x64上试了下,可行!隐身咯![em_13]一.ID:1496的进程Deamon.exe确实看不到了!二. ID: 248的进程explorer.exe ... PG⚠️ 隐藏的最高境界等于永远不出现在KiProcessInSwapListEntry,相当于进程永远得不到调度,有什么意义?
最后于 2020-10-27 19:23
被hhkqqs编辑
,原因:
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值