首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
经典问答
发新帖
2
0
windows内核空间页表问题
发表于: 2016-11-30 14:49
4996
windows内核空间页表问题
Hanjey
2016-11-30 14:49
4996
老师们,问一个问题,就是windows进程共享系统地址空间,但是在一个内核进程获得控制权的时候,其实怎么使用页表的?虽然共享系统地址空间,但是所有进程的页表对应的系统地址空间不一定一致 啊,比如说我们后来加载一个驱动,驱动运行使用的页表也是从CR3获取的吗?
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
收藏
・
2
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
9
)
hzqst
雪 币:
12848
活跃值:
(9147)
能力值:
( LV9,RANK:280 )
在线值:
发帖
47
回帖
1793
粉丝
569
关注
私信
hzqst
3
2
楼
从cr3里取,每个进程的cr3都不一样
所有进程的内核地址空间的映射结果(VA to PA)都是一样的,除了Session地址空间,同一个session的进程的映射结果是一样的(所谓的session隔离),System进程和smss进程没有对session地址空间的映射
驱动加载是在System进程中的
你应该看一看这个
2016-11-30 15:12
0
轩辕之风
雪 币:
2291
活跃值:
(938)
能力值:
( LV8,RANK:130 )
在线值:
发帖
34
回帖
322
粉丝
67
关注
私信
轩辕之风
1
3
楼
你这段话跟当初带我出道的老司机说的简直一模一样!
2016-11-30 15:55
0
Hanjey
雪 币:
7
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
5
回帖
12
粉丝
0
关注
私信
Hanjey
4
楼
谢谢老师,意思是驱动其实是运行在system进程空间中的,不考虑session情况下,在内核线程从用户线程手中获得控制权,那么必然要把CR3切换到system进程的页表?是这样吗?还有一个问题,就是驱动申请的内存应该就是记录在system进程的页表中了,而在以后的用户进程发生系统调用要用到那块内存时,虽然那块内存已经分配并记录到system进程的页表,但是用户进程的页表的对应项并没有被填充,所以这个时候发生pagefault,但是仅仅是同步一下PTE,是这样的吗老师??谢谢
2016-11-30 18:20
0
Hanjey
雪 币:
7
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
5
回帖
12
粉丝
0
关注
私信
Hanjey
5
楼
一看就知道您也已经是老司机了!!还请不吝赐教!!
2016-11-30 18:21
0
轩辕之风
雪 币:
2291
活跃值:
(938)
能力值:
( LV8,RANK:130 )
在线值:
发帖
34
回帖
322
粉丝
67
关注
私信
轩辕之风
1
6
楼
完全不是这样。
不能简单说驱动运行在system进程空间中,内核模式的代码随着情况不同可能运行在任何进程空间中。比如你挂的钩子,添加的回调,注册的过滤器,等等
2016-12-1 13:46
0
Hanjey
雪 币:
7
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
5
回帖
12
粉丝
0
关注
私信
Hanjey
7
楼
恩恩,不好意思老师,没表达清楚,我意思是驱动加载的时候是system进程加载的,其申请的空间首次是映射在system进程的页表中,之后当在其他进程空间访问的时候,在同步页表!这么理解对么?
2016-12-1 14:24
0
轩辕之风
雪 币:
2291
活跃值:
(938)
能力值:
( LV8,RANK:130 )
在线值:
发帖
34
回帖
322
粉丝
67
关注
私信
轩辕之风
1
8
楼
申请的空间?是指什么
2016-12-1 15:06
0
Hanjey
雪 币:
7
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
5
回帖
12
粉丝
0
关注
私信
Hanjey
9
楼
比如说我在换页内存区申请一个页面,写入某些数据,,该页面在写入之前没有对应的物理页面,且也没有建立页表,在写入的时候就会自动分配物理页面并建立页表项,这个时候,建立的页表是属于哪个进程的?system进程?
2016-12-1 15:33
0
轩辕之风
雪 币:
2291
活跃值:
(938)
能力值:
( LV8,RANK:130 )
在线值:
发帖
34
回帖
322
粉丝
67
关注
私信
轩辕之风
1
10
楼
内核空间除了session部分外,其他进程看到的都是同一份,不存在属于哪个进程空间的说法。
2016-12-1 16:07
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
Hanjey
5
发帖
12
回帖
10
RANK
关注
私信
他的文章
[求助]win7中是否还有_KDDEBUGGER_DATA64结构
3458
windows内核空间页表问题
4997
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部