首页
社区
课程
招聘
[求助]内核中如何判断地址是否越界?
发表于: 2014-10-25 21:29 4997

[求助]内核中如何判断地址是否越界?

2014-10-25 21:29
4997
最近做通过IofCallDriver隐藏文件的小驱动,调用IofCallDriver之后,pIrp->UserBuffer有时会越界(在通过网络共享访问文件夹的时候会出现越界地址)。

比如通常地址都是这样的020cc9ec、020cd608、020cdb5c.....

通过网络共享访问文件夹的时候突然冒出一个858990e8,明显越界了,太菜了,现在不知道如何判断地址是否越界。

如何判断地址是否越界呢各位同僚~

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 203
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
izc
2
MmIsAddressValid不好使撒~
2014-10-25 21:50
0
雪    币: 185
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
要不报着侥幸心态

对于地址前两、三位不同的就放过?
2014-10-25 23:02
0
雪    币: 203
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
izc
4
这样不好吧。。。。
2014-10-25 23:21
0
雪    币: 26
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
那就过滤最高位为1的情况试试吧
2014-10-26 02:05
0
雪    币: 2153
活跃值: (740)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
6
做个MDL映射,然后取得新的线性地址(对应同一个物理地址)
如果能映射成功就说明地址没问题
虽然麻烦了点
2014-10-26 06:36
0
游客
登录 | 注册 方可回帖
返回
//