首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]
发表于: 2013-8-10 15:50 4978

[求助]

shanmeng 活跃值
2013-8-10 15:50
4978
使用 WinDbg 的 !process 0 0 命令得到 DirBase: 3f74a000


使用自己写的驱动读取这个地址 DirBase: 3f74a000,提示地址不存在,直接蓝屏???
而在 WinDbg 里使用命令 !DD 3f74a000 又能显示出内存数据??

驱动代码段:
        mov ebx,cr3
        mov eax,3f74a000h
        mov cr3,eax
        mov ecx,[eax]
        mov cr3,ebx

知道的帮看看~~

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (8)
学雄
雪    币: 371
活跃值: (72)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
2
强切cr3,蓝得一塌糊涂~~~~~(数据量多的时候~~~)
2013-8-10 15:56
0
phpskycn
雪    币: 110
活跃值: (34)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
私信
3
注意CR3里存储的是physical Address,不是Virtual Address
详情请参考《Intel® 64 and IA-32 Architectures
Software Developer’s Manual》
2013-8-10 23:38
0
shanmeng
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
。。。。~~~直接告诉我问题出在哪里 就可以了
2013-8-11 00:53
0
shanmeng
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
用 Syser 查看 3f74a000 地址也是 全问号 地址不存在
2013-8-11 08:33
0
莫灰灰
雪    币: 2331
活跃值: (2220)
能力值: (RANK:400 )
在线值:
发帖
回帖
粉丝
私信
6
需要Attach到目标进程。
2013-8-11 13:17
0
shanmeng
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
具体 如何抄作呢??
2013-8-11 17:57
0
tishion
雪    币: 496
活跃值: (291)
能力值: ( LV13,RANK:400 )
在线值:
发帖
回帖
粉丝
私信
8
大神。。

记得先关中断~~
2013-8-11 18:05
0
非安全
雪    币: 750
活跃值: (228)
能力值: ( LV9,RANK:780 )
在线值:
发帖
回帖
粉丝
私信
9
DirBase 貌似是 偏移地址 ?
2013-8-11 18:39
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//