能力值:
( LV9,RANK:190 )
|
-
-
2 楼
感谢分享
|
能力值:
( LV4,RANK:40 )
|
-
-
3 楼
内存加载DLL
|
能力值:
( LV4,RANK:50 )
|
-
-
4 楼
感谢分享!
|
能力值:
( LV9,RANK:280 )
|
-
-
5 楼
你软唯一指定修改用户空间内存的方法NtProtectVirtualMemory其他皆是玩蛇
|
能力值:
( LV12,RANK:290 )
|
-
-
6 楼
hzqst
你软唯一指定修改用户空间内存的方法NtProtectVirtualMemory其他皆是玩蛇
说的好
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
hzqst
你软唯一指定修改用户空间内存的方法NtProtectVirtualMemory其他皆是玩蛇
你倒是说出个所以然啊。都是r0级,操作系统也可以打个洞从另外的通道走,不要认为微软规定的,就是唯一,这不束缚了自己和别人的手脚吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
感谢分享
|
能力值:
( LV12,RANK:760 )
|
-
-
9 楼
其实取PFN,映射PFN,访问,撤销映射就行了。 既然是突破COW,不是带着COW。 取pfn手工 映射pfn,可以自己build pagetable 访问简单RtlCopyMemory什么的 撤销,清理build的pagetable
PS:
x64 公式推导给出的基址在Win10 新版上是不行的哦.
|
能力值:
( LV12,RANK:290 )
|
-
-
10 楼
cvcvxk
其实取PFN,映射PFN,访问,撤销映射就行了。既然是突破COW,不是带着COW。取pfn手工映射pfn,可以自己build pagetable访问简单RtlCopyMemory什么的撤销,清理bui ...
嗯,也想过自己重建PFN映射,但是怕这么做不稳定~~,Win10新版我再看看
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
PFN 映射 貌似还得刷一次cach
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
mark
|
能力值:
( LV12,RANK:290 )
|
-
-
13 楼
库尔
PFN 映射 貌似还得刷一次cach
这是一方面,另一方面 虚拟地址你用哪块,是不是还得自己找,然后你如何知道当前哪块PTE是没有用过的
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
cvcvxk
其实取PFN,映射PFN,访问,撤销映射就行了。既然是突破COW,不是带着COW。取pfn手工映射pfn,可以自己build pagetable访问简单RtlCopyMemory什么的撤销,清理bui ...
哪个版本开始不行?
|
能力值:
( LV8,RANK:120 )
|
-
-
15 楼
10240以上。需要特征定位各级表
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
mark
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
mark
|
能力值:
( LV9,RANK:140 )
|
-
-
18 楼
MmGetPhysicalAddress + MmMapIoSpace 直接改不行?
|
能力值:
( LV12,RANK:290 )
|
-
-
19 楼
malokch MmGetPhysicalAddress + MmMapIoSpace 直接改不行?
你既然都能MmGetPhysicalAddress了,那还有什么必要MmMapIoSpace呢,不过确实这种方法可以不用找各级表,233333,注: 开头说是不借助API
|
能力值:
( LV9,RANK:140 )
|
-
-
20 楼
FaEry
malokch
MmGetPhysicalAddress + MmMapIoSpace 直接改不行?
你既然都能MmGetPhysicalAddress ...
是我被别的资料误导了
|
能力值:
( LV2,RANK:15 )
|
-
-
21 楼
看学长的帖子学到了好多
|
能力值:
( LV3,RANK:30 )
|
-
-
22 楼
mark
|
能力值:
( LV6,RANK:90 )
|
-
-
23 楼
谢谢分享
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
你可以重新启动一下系统再加载试试看
|
能力值:
( LV2,RANK:15 )
|
-
-
25 楼
MDL中的PFN才是精髓呀,感觉MDL就是简单的描述一下....最近也大概看了一下。其实有个问题,win 1024以上,都是根据特征码定位表,那么操作系统它是怎么找到的呢
|
|
|