[求助]如何通过驱动程序获取到CR3里的内容-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
shenjiancm 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 0 关注私信	shenjiancm 2 楼我也想知道。就是不明白 2011-10-20 12:51 0
xiaogangha 雪币： 75 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	xiaogangha 3 楼 lkd> dt _KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER +0x010 ProfileListHead : _LIST_ENTRY +0x018 DirectoryTableBase : Uint4B +0x01c LdtDescriptor : _KGDTENTRY .... 其中偏移18h就是CR3的值，要获取目标进程的cr3值需要切换到目标进程地址空间去，从进程内核对象中获取cr3的值 2011-10-20 13:12 0
shaotine 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 31 粉丝 0 关注私信	shaotine 4 楼期待高手的回复！万分感谢！！ 2011-10-20 13:13 0
shaotine 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 31 粉丝 0 关注私信	shaotine 5 楼从进程内核对象中？？？？如何得到进程的内核对象？在内核中用驱动程序获取？？？ 2011-10-20 13:14 0
杨俊伟雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 0 关注私信	杨俊伟 6 楼路过，学习，打酱油 2011-10-20 13:15 0
xiaogangha 雪币： 75 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	xiaogangha 7 楼在内核程序中获取，获取进程的内核对象方法可以Google 2011-10-20 15:43 0
shaotine 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 31 粉丝 0 关注私信	shaotine 8 楼你好，有类似的例子吗？？？？ 2011-10-21 14:20 0
shaotine 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 31 粉丝 0 关注私信	shaotine 9 楼自己顶一下！！！ 2011-10-23 10:59 0
Naylon 雪币： 227 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 147 粉丝 2 关注私信	Naylon 2 10 楼 PsLookupProcessByProcessId 2011-10-23 11:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
shenjiancm 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 0 关注私信	shenjiancm 2 楼我也想知道。就是不明白 2011-10-20 12:51 0
xiaogangha 雪币： 75 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	xiaogangha 3 楼 lkd> dt _KPROCESS nt!_KPROCESS +0x000 Header : _DISPATCHER_HEADER +0x010 ProfileListHead : _LIST_ENTRY +0x018 DirectoryTableBase : Uint4B +0x01c LdtDescriptor : _KGDTENTRY .... 其中偏移18h就是CR3的值，要获取目标进程的cr3值需要切换到目标进程地址空间去，从进程内核对象中获取cr3的值 2011-10-20 13:12 0
shaotine 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 31 粉丝 0 关注私信	shaotine 4 楼期待高手的回复！万分感谢！！ 2011-10-20 13:13 0
shaotine 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 31 粉丝 0 关注私信	shaotine 5 楼从进程内核对象中？？？？如何得到进程的内核对象？在内核中用驱动程序获取？？？ 2011-10-20 13:14 0
杨俊伟雪币： 54 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 0 关注私信	杨俊伟 6 楼路过，学习，打酱油 2011-10-20 13:15 0
xiaogangha 雪币： 75 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 61 粉丝 0 关注私信	xiaogangha 7 楼在内核程序中获取，获取进程的内核对象方法可以Google 2011-10-20 15:43 0
shaotine 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 31 粉丝 0 关注私信	shaotine 8 楼你好，有类似的例子吗？？？？ 2011-10-21 14:20 0
shaotine 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 31 粉丝 0 关注私信	shaotine 9 楼自己顶一下！！！ 2011-10-23 10:59 0
Naylon 雪币： 227 活跃值： (66) 能力值： ( LV7，RANK：100 ) 在线值：发帖 4 回帖 147 粉丝 2 关注私信	Naylon 2 10 楼 PsLookupProcessByProcessId 2011-10-23 11:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]如何通过驱动程序获取到CR3里的内容 0.00雪花