恢复OE hook处理 不小菜不会 所以想了个方法 没实践 不过理论可行。
先说理论流程,我们都知道。TP处理了页表 就是CR3 这里说的环境是无VT win7 X64.
在虚拟机环境,完全确定无VT下 创建进程回调 先拿到CR3的值 然后创建个系统线程延时10秒后对比 CR3后恢复内存读写就OK了。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
他是在attach的时候是tp里赋值,在keunstack这个值会不会也是个0?等待tp恢复?
ravenhu 他是在attach的时候是tp里赋值,在keunstack这个值会不会也是个0?等待tp恢复?
*****************