[讨论][求助]用切换CR3来读写进程内存，那么如何获取真实CR3-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (29) ◀ 1 2
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 26 楼已删除最后于 2018-11-29 10:16 被BDBig编辑，原因： 2018-11-29 10:15 0
Jy王雪币： 34 活跃值： (94) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 54 粉丝 3 关注私信	Jy王 27 楼 BDBig +1。这个方案，不错。实际获取真实的CR3就是搜tp的特征。。。至少我是这么干的。。。。感谢，我研究研究呢！谢谢 2018-11-29 15:40 0
懒的时间雪币： 136 活跃值： (337) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 1 关注私信	懒的时间 28 楼学习最后于 2018-11-30 23:10 被懒的时间编辑，原因： 2018-11-30 23:02 0
killpy 雪币： 83 活跃值： (1082) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 46 关注私信	killpy 2 29 楼 BDBig 已删除 ULONG64 vTpDataObjectBase = *(PULONG)(vTpMemory + 0x1738B) + vTpMemory + 0x1738F; 这个是怎么找到的 mov cr3,xxxx这种特征太多了你怎么知道到底是哪一个??? pte如果被抹去你获取真实页表也没用啊一样发生页面访问异常 tp在idt 会判断你当前进程是否合法这种情况你怎么办?有啥好思路 2018-12-5 16:30 0
还洋洋雪币： 38 活跃值： (168) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 27 粉丝 0 关注私信	还洋洋 30 楼需要遍历CPU 的IDT 那些以上代码只是遍历当前的IDT 没啥子用 2020-6-14 10:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (29) ◀ 1 2
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 26 楼已删除最后于 2018-11-29 10:16 被BDBig编辑，原因： 2018-11-29 10:15 0
Jy王雪币： 34 活跃值： (94) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 54 粉丝 3 关注私信	Jy王 27 楼 BDBig +1。这个方案，不错。实际获取真实的CR3就是搜tp的特征。。。至少我是这么干的。。。。感谢，我研究研究呢！谢谢 2018-11-29 15:40 0
懒的时间雪币： 136 活跃值： (337) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 36 粉丝 1 关注私信	懒的时间 28 楼学习最后于 2018-11-30 23:10 被懒的时间编辑，原因： 2018-11-30 23:02 0
killpy 雪币： 83 活跃值： (1082) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 46 关注私信	killpy 2 29 楼 BDBig 已删除 ULONG64 vTpDataObjectBase = *(PULONG)(vTpMemory + 0x1738B) + vTpMemory + 0x1738F; 这个是怎么找到的 mov cr3,xxxx这种特征太多了你怎么知道到底是哪一个??? pte如果被抹去你获取真实页表也没用啊一样发生页面访问异常 tp在idt 会判断你当前进程是否合法这种情况你怎么办?有啥好思路 2018-12-5 16:30 0
还洋洋雪币： 38 活跃值： (168) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 27 粉丝 0 关注私信	还洋洋 30 楼需要遍历CPU 的IDT 那些以上代码只是遍历当前的IDT 没啥子用 2020-6-14 10:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复