首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]关于虚拟地址在驱动中读取的问题
发表于: 2010-4-23 16:09 5233

[求助]关于虚拟地址在驱动中读取的问题

magicknife 活跃值
2010-4-23 16:09
5233
知道进程的虚拟地址,知道进程的ID,如何得到进程虚拟地址里的内容呢?

比如一个进程A,B,他们的虚拟地址都是0x40000,那我想获得他们的内容,怎么做呢?肯定是不一样的。在驱动中如何区分他们。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (6)
skypismire
雪    币: 75
活跃值: (723)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
2
VOID
  KeStackAttachProcess (
    IN PKPROCESS  Process,
    OUT PRKAPC_STATE  ApcState
    );
2010-4-23 16:18
0
magicknife
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
thank you very much. 但是好像不行呀,这个函数有这个要求呀 IRQL: < DISPATCH_LEVEL,但是我的执行代码就是在 DISPATCH_LEVEL. 有没有别的方法呢?
2010-4-23 16:28
0
skypismire
雪    币: 75
活跃值: (723)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
4
由进程ID把进程的EPROCESS结构找到,把它的cr3弄到手,然后将虚拟地址转换成对应的物理地址,直接读物理地址算了.读物理地址内容可以用MmMapIoSpace IRQL: <=DISPATCH_LEVEL,没试验过,应该可行,楼主试成功了帮忙吱一声
2010-4-23 18:31
0
任天广
雪    币: 622
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
http://bbs.pediy.com/showthread.php?t=64938
2010-4-23 18:52
0
skypismire
雪    币: 75
活跃值: (723)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
6
刷cr3,这个好cool
2010-4-23 19:11
0
jokersky
雪    币: 132
活跃值: (30)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
7
http://bbs.pediy.com/showthread.php?t=64938
2010-10-27 14:58
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//