-
-
[求助]关于驱动读写其他进程地址空间的问题,让我郁闷很久了
-
发表于:
2009-12-14 13:01
4626
-
[求助]关于驱动读写其他进程地址空间的问题,让我郁闷很久了
我在驱动中想读Winlogo进程的地址空间,主要是想把kernel32.dll的内存映象全部拷贝下来,现在遇到一个很棘手的问题,我的系统是XP SP2,kernel32.dll的内存映象大小是0x110c00,基址是0x7c800000,当驱动读到0x7c82a000时系统崩溃,后来调试时发现,0x7c82a000这个地址处,竟然没有数据,因为WinDBG读不出数据了,而0x7c800000到0x7c829FFF都有数据,我也确定是kernel32.dll的数据.从0x7c82a000开始,这些内存页是不是被换出内存拉.不然怎么会读不出数据呢?
现在的问题是:如何把0x7c82a000这地址后面的数据全部读出来呢?看了一下Windows Internal 5的内存管理也没找到解决的方法......郁闷中!
希望懂的朋友能帮助我一下.........
[课程]Linux pwn 探索篇!