-
-
[讨论]关于*P驱动内存地址
-
发表于: 2014-4-9 19:01
-
关于*P驱动内存地址
*P更新了也有一段时间了,跟之前稍微有点变化
现在困惑的是*P不知道是怎么申请地址空间的
//
2: kd> u NtReadVirtualMemory
nt!NtReadVirtualMemory:
805b52ca b88c0fd9ed mov eax,0EDD90F8Ch
805b52cf ffe0 jmp eax
805b52d1 e8ba79f8ff call nt!_SEH_prolog (8053cc90)
805b52d6 64a124010000 mov eax,dword ptr fs:[00000124h]
805b52dc 8bf8 mov edi,eax
805b52de 8a8740010000 mov al,byte ptr [edi+140h]
805b52e4 8845e0 mov byte ptr [ebp-20h],al
805b52e7 8b7514 mov esi,dword ptr [ebp+14h]
挂HOOK的地址 mov eax,0EDD90F8Ch
模块基址是:EE0B3000
EDD90F8C不在模块基址里,应该是新申请的内存地址
校验或DebugPort清0也在新申请的内存地址
想请教下这个新申请的内存地址怎么拦截获得
*P更新了也有一段时间了,跟之前稍微有点变化
现在困惑的是*P不知道是怎么申请地址空间的
//
2: kd> u NtReadVirtualMemory
nt!NtReadVirtualMemory:
805b52ca b88c0fd9ed mov eax,0EDD90F8Ch
805b52cf ffe0 jmp eax
805b52d1 e8ba79f8ff call nt!_SEH_prolog (8053cc90)
805b52d6 64a124010000 mov eax,dword ptr fs:[00000124h]
805b52dc 8bf8 mov edi,eax
805b52de 8a8740010000 mov al,byte ptr [edi+140h]
805b52e4 8845e0 mov byte ptr [ebp-20h],al
805b52e7 8b7514 mov esi,dword ptr [ebp+14h]
挂HOOK的地址 mov eax,0EDD90F8Ch
模块基址是:EE0B3000
EDD90F8C不在模块基址里,应该是新申请的内存地址
校验或DebugPort清0也在新申请的内存地址
想请教下这个新申请的内存地址怎么拦截获得
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
