[讨论]访问win32k.sys 这样可以不！-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]访问win32k.sys 这样可以不！

发表于: 2011-12-15 01:30 4698

[讨论]访问win32k.sys 这样可以不！

honffx

2011-12-15 01:30

4698

lkd> !process 0 0
**** NT ACTIVE PROCESS DUMP ****
PROCESS 8a5aca00  SessionId: 0  Cid: 0004 Peb: 00000000  ParentCid: 0000
DirBase: 0ac00020  ObjectTable: e1003e68  HandleCount: 218.
Image: System

PROCESS 8a1dd790  SessionId: none  Cid: 0254 Peb: 7ffda000  ParentCid: 0004
DirBase: 0ac00040  ObjectTable: e17332b8  HandleCount:  17.
Image: smss.exe

PROCESS 8a15b698  SessionId: 0  Cid: 02e4 Peb: 7ffdc000  ParentCid: 0254
DirBase: 0ac00060  ObjectTable: e1aa2c30  HandleCount: 289.
Image: csrss.exe

PROCESS 8a15a698  SessionId: 0  Cid: 033c Peb: 7ffd3000  ParentCid: 0254
DirBase: 0ac00080  ObjectTable: e1a90e20  HandleCount: 300.
Image: winlogon.exe

PROCESS 8a089790  SessionId: 0  Cid: 03b0 Peb: 7ffd8000  ParentCid: 033c
DirBase: 0ac000a0  ObjectTable: e21503b8  HandleCount: 230.
Image: services.exe

我改了 System 进程的！SessionId：0

这样改了可以不需要GUI 线程就可以访问 win32k.sys吗???

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#系统底层

收藏・0

免费・0

支持

最新回复 (1)
pak 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 0 关注私信	pak 2 楼不可以，因为System（系统）进程中页表并没有映射Win32k.sys，即System进程的虚拟地址空间中并没有“加载”Win32k.sys，你再怎么改也白扯~ 2011-12-15 10:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

honffx

发帖

134

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
pak 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 28 粉丝 0 关注私信	pak 2 楼不可以，因为System（系统）进程中页表并没有映射Win32k.sys，即System进程的虚拟地址空间中并没有“加载”Win32k.sys，你再怎么改也白扯~ 2011-12-15 10:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复