[讨论]内核映射win32k.sys的疑惑-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
nooning 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	nooning 2 楼无论哪个文件都是一样的，被当成DataSection 或ImageSection后，再创建就会找到原来已经存在的Section，看createsection过程就可以看到了 2010-6-18 10:33 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼因为win32k在SessionSpace中，所以不要用Map了，Read吧～～ 2010-6-18 10:35 0
hatling 雪币： 229 活跃值： (488) 能力值： ( LV10，RANK：170 ) 在线值：发帖 44 回帖 218 粉丝 5 关注私信	hatling 3 4 楼直接readfile 解析pe结构 2010-6-18 10:40 0
xztwana 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	xztwana 5 楼膜拜下~~洗洗~~ 2010-6-19 22:32 0
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 6 楼这个问题最后发现，常见的其它几个模块都不会使用内存已经存在的镜像，如nt内核文件，ntfs文件，fastfat文件，等等，居然只有在xp下的win32k有那种问题，Windows7下win32k也不会使用内存镜像，我又特地看了一下reactos0.3.11的CreateSection实现，发现这个是判断FileObject里面的SecionObjectPointer，但是很显然Windows这个问题处理上不像reactos那样简单啊…… 2010-6-19 22:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
nooning 雪币： 107 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	nooning 2 楼无论哪个文件都是一样的，被当成DataSection 或ImageSection后，再创建就会找到原来已经存在的Section，看createsection过程就可以看到了 2010-6-18 10:33 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼因为win32k在SessionSpace中，所以不要用Map了，Read吧～～ 2010-6-18 10:35 0
hatling 雪币： 229 活跃值： (488) 能力值： ( LV10，RANK：170 ) 在线值：发帖 44 回帖 218 粉丝 5 关注私信	hatling 3 4 楼直接readfile 解析pe结构 2010-6-18 10:40 0
xztwana 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	xztwana 5 楼膜拜下~~洗洗~~ 2010-6-19 22:32 0
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 6 楼这个问题最后发现，常见的其它几个模块都不会使用内存已经存在的镜像，如nt内核文件，ntfs文件，fastfat文件，等等，居然只有在xp下的win32k有那种问题，Windows7下win32k也不会使用内存镜像，我又特地看了一下reactos0.3.11的CreateSection实现，发现这个是判断FileObject里面的SecionObjectPointer，但是很显然Windows这个问题处理上不像reactos那样简单啊…… 2010-6-19 22:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复