首页
社区
课程
招聘
[讨论]关于*P驱动内存地址
发表于: 2014-4-9 19:01 4882

[讨论]关于*P驱动内存地址

2014-4-9 19:01
4882
关于*P驱动内存地址
*P更新了也有一段时间了,跟之前稍微有点变化
现在困惑的是*P不知道是怎么申请地址空间的



//
2: kd> u NtReadVirtualMemory
nt!NtReadVirtualMemory:
805b52ca b88c0fd9ed      mov     eax,0EDD90F8Ch
805b52cf ffe0            jmp     eax
805b52d1 e8ba79f8ff      call    nt!_SEH_prolog (8053cc90)
805b52d6 64a124010000    mov     eax,dword ptr fs:[00000124h]
805b52dc 8bf8            mov     edi,eax
805b52de 8a8740010000    mov     al,byte ptr [edi+140h]
805b52e4 8845e0          mov     byte ptr [ebp-20h],al
805b52e7 8b7514          mov     esi,dword ptr [ebp+14h]

挂HOOK的地址 mov     eax,0EDD90F8Ch

模块基址是:EE0B3000
EDD90F8C不在模块基址里,应该是新申请的内存地址
校验或DebugPort清0也在新申请的内存地址
想请教下这个新申请的内存地址怎么拦截获得

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 346
活跃值: (129)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
2
新版的TP中
TesSafe 只是一个 LoadDriver
HOOK 函数 在内存加载的驱动中实现
2014-4-9 21:15
0
雪    币: 49
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
楼主,可以仔细看下这帖子http://bbs.pediy.com/showthread.php?t=185057

里面的每一个回复,都有各自的方法!
2014-4-9 23:05
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4

谢谢1和2楼
去看下
2014-4-11 21:29
0
雪    币: 36
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
楼主也在研究这个吗,本人新人,对这个一直有兴趣,一直没法入门,看过郁金香的全套视频,只能照着葫芦画瓢,按照老实讲的,现在又弄不了了,不知道楼主能不能一起交流下,让我入个门啊。
2014-4-12 16:21
0
游客
登录 | 注册 方可回帖
返回
//