-
-
[求助]一个有关OD结构解析的编程,难题
-
发表于: 2014-8-16 00:58
-
整理下问题,继续向大牛们请教,大家多少给点建议啊。就当记笔记了。陆续更新试探方法
一、在分析OD内存时即没找到,它映射其他进程的VAD,也没有找到相关的物理映射。开始确定,OD就绝对是OpenProcess->ReadProcessMemory完成内存读取的,不知道我确定的是否正确?
二、缺页中断流程:Trap0E->MmAccessFault->MiDispatchFault.在MmAccessFault这的时候,没有区别是哪个进程,获得到前进程EPROCESS,
三、如果我想手工发起非本进程的,进程级缺页中断,有否Ring3的接口?我不需要内核的接口,想找到Ring3的办法去激活目标进程的缺页中断,请各位大牛,赐教!!!!!!
四、不可用ReadProcessMemory实现。
五、如果全不行
是否有其他方案,解决对方进程缺页的问题。
六、17号一天试了一下,能否直接引用"MiDispatchFault",基本成功,但还是在内核内实现的。明天试试能否通过,Ring3直接调用MiDispatchFault
七、白天小试一下是否可以Ring3调MiDispatchFault,折腾半天证明失败,即使能成功调用,也无法正常的FILE_OGJECT 读写,难道还有其他隔离手段?求解
一、在分析OD内存时即没找到,它映射其他进程的VAD,也没有找到相关的物理映射。开始确定,OD就绝对是OpenProcess->ReadProcessMemory完成内存读取的,不知道我确定的是否正确?
二、缺页中断流程:Trap0E->MmAccessFault->MiDispatchFault.在MmAccessFault这的时候,没有区别是哪个进程,获得到前进程EPROCESS,
三、如果我想手工发起非本进程的,进程级缺页中断,有否Ring3的接口?我不需要内核的接口,想找到Ring3的办法去激活目标进程的缺页中断,请各位大牛,赐教!!!!!!
四、不可用ReadProcessMemory实现。
五、如果全不行
是否有其他方案,解决对方进程缺页的问题。六、17号一天试了一下,能否直接引用"MiDispatchFault",基本成功,但还是在内核内实现的。明天试试能否通过,Ring3直接调用MiDispatchFault
七、白天小试一下是否可以Ring3调MiDispatchFault,折腾半天证明失败,即使能成功调用,也无法正常的FILE_OGJECT 读写,难道还有其他隔离手段?求解
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
问题解决!
|
