针对TP hook 0E 页表异常断点处理方法理论处理-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
ravenhu 雪币： 49 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 59 粉丝 0 关注私信	ravenhu 2 楼他是在attach的时候是tp里赋值，在keunstack这个值会不会也是个0？等待tp恢复？ 2017-5-10 02:49 0
niceli 雪币： 273 活跃值： (477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	niceli 3 楼 ravenhu 他是在attach的时候是tp里赋值，在keunstack这个值会不会也是个0？等待tp恢复？不是这样的 keunstack 这个值是正确的但是他不会处理CR3里面的因为页表清0后他就不会管了。页表他保存了一份直接给CR3给了真实的。这就相当于是2份页表一份程序用的eprocess +0x28 这份清0 另一份自己保存.清0那份他不会恢复。所以不存在读后还在在清eprocess里面的. 2017-5-10 03:14 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 4 楼难道这就是传说中的影子页表大法 2017-5-10 09:19 0
ghostway 雪币： 581 活跃值： (215) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 168 粉丝 4 关注私信	ghostway 1 5 楼 ***************** 2017-5-10 10:45 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 6 楼 BIOS关闭VT就是彻底关了 hook 0E跟VT无关，过掉PG即可 2017-5-10 12:15 0
z许雪币： 1895 活跃值： (1662) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 7 楼 windows对虚拟内存权限管理得死死的。物理内存却不管。 2017-5-11 00:55 0
零点vision 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	零点vision 8 楼能留个联系方式吗 2017-5-18 09:12 0
陈晨a 雪币： 47 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	陈晨a 9 楼 tp学习了 2017-12-11 01:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
ravenhu 雪币： 49 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 59 粉丝 0 关注私信	ravenhu 2 楼他是在attach的时候是tp里赋值，在keunstack这个值会不会也是个0？等待tp恢复？ 2017-5-10 02:49 0
niceli 雪币： 273 活跃值： (477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	niceli 3 楼 ravenhu 他是在attach的时候是tp里赋值，在keunstack这个值会不会也是个0？等待tp恢复？不是这样的 keunstack 这个值是正确的但是他不会处理CR3里面的因为页表清0后他就不会管了。页表他保存了一份直接给CR3给了真实的。这就相当于是2份页表一份程序用的eprocess +0x28 这份清0 另一份自己保存.清0那份他不会恢复。所以不存在读后还在在清eprocess里面的. 2017-5-10 03:14 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 4 楼难道这就是传说中的影子页表大法 2017-5-10 09:19 0
ghostway 雪币： 581 活跃值： (215) 能力值： ( LV8，RANK：130 ) 在线值：发帖 9 回帖 168 粉丝 4 关注私信	ghostway 1 5 楼 ***************** 2017-5-10 10:45 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 6 楼 BIOS关闭VT就是彻底关了 hook 0E跟VT无关，过掉PG即可 2017-5-10 12:15 0
z许雪币： 1895 活跃值： (1662) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 7 楼 windows对虚拟内存权限管理得死死的。物理内存却不管。 2017-5-11 00:55 0
零点vision 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	零点vision 8 楼能留个联系方式吗 2017-5-18 09:12 0
陈晨a 雪币： 47 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	陈晨a 9 楼 tp学习了 2017-12-11 01:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

针对TP hook 0E 页表异常断点 处理方法 理论处理

针对TP hook 0E 页表异常断点处理方法理论处理