[已解决]CR3读写内存，总是会有PAGE_FAULT_IN_NONPAGED_AREA一般是什么问题造成的-茶余饭后-看雪-安全社区|安全招聘|kanxue.com

[已解决]CR3读写内存，总是会有PAGE_FAULT_IN_NONPAGED_AREA一般是什么问题造成的

发表于: 2019-5-22 19:06 9533

[已解决]CR3读写内存，总是会有PAGE_FAULT_IN_NONPAGED_AREA一般是什么问题造成的

lwbkanxue

2019-5-22 19:06

9533

已解决IO分页内存问题

发生问题是随机的，一般速度快时就出现问题了。
蓝屏代码 
PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced.  This cannot be protected by try-except.
Typically the address is just plain bad or it is pointing at freed memory.
Arguments:
Arg1: fffff5010f5c9a98, memory referenced.
Arg2: 0000000000000000, value 0 = read operation, 1 = write operation.
Arg3: fffff803c6d3d730, If non-zero, the instruction address which referenced the bad memory
	address.
Arg4: 0000000000000002, (reserved)

[课程]FART 脱壳王！加量不加价！FART作者讲授！

最后于 2019-5-26 00:07 被lwbkanxue编辑，原因：

收藏・2

免费・0

支持

最新回复 (18)
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 2 楼一般是牢饭没吃够造成的 2019-5-22 20:13 0
萌克力雪币： 433 活跃值： (1895) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 32 关注私信	萌克力 3 楼不要问问就三年以上 2019-5-22 20:16 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 4 楼萌克力不要问问就三年以上还有几十万罚金 2019-5-22 20:28 0
黑洛雪币： 6124 活跃值： (4471) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 70 关注私信	黑洛 1 5 楼别问问就是先罚20w 2019-5-22 20:30 0
lwbkanxue 雪币： 460 活跃值： (483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 53 粉丝 7 关注私信	lwbkanxue 6 楼纯技术技术交流，CR3毛病多。 2019-5-22 21:16 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 7 楼 lwbkanxue [em_78]纯技术技术交流，CR3毛病多。你和前几个人说的话一样，不过他们都去吃国家饭了 2019-5-23 08:06 0
whathhh 雪币： 712 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 88 粉丝 2 关注私信	whathhh 8 楼内存释放了吧最后于 2019-5-23 08:54 被whathhh编辑，原因： 2019-5-23 08:53 0
lwbkanxue 雪币： 460 活跃值： (483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 53 粉丝 7 关注私信	lwbkanxue 9 楼 keattchprocess 附加没问题，CR3就蹦，应该是在切换CR3后出现的问题吧 2019-5-23 10:44 0
cslime 雪币： 3129 活跃值： (3663) 能力值： ( LV8，RANK：158 ) 在线值：发帖 8 回帖 30 粉丝 99 关注私信	cslime 2 10 楼本人也遇到过此问题直接切换cr3过几秒之后cr3就会又恢复原来的值.. 猜测可能是内核里面的一条检测线程还原了自身创建线程的CR3,也许是啥各种不合法之类的翻了一下wrk里面KeAttachProcess的代码,把线程apc->Process改成要附加的那个进程的Eprocess就OK 2019-5-26 21:37 1
mb_pgsxqpgq 雪币： 367 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	mb_pgsxqpgq 11 楼兄弟,切换CR3缺页问题怎么解决的? 2019-11-11 17:13 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 12 楼 cslime 本人也遇到过此问题直接切换cr3过几秒之后cr3就会又恢复原来的值.. 猜测可能是内核里面的一条检测线程还原了自身创建线程的CR3,也许是啥各种不合法之类的翻了一下wrk里面KeAttach ... 好像不OK,我试也是蓝 2020-12-15 14:34 0
cslime 雪币： 3129 活跃值： (3663) 能力值： ( LV8，RANK：158 ) 在线值：发帖 8 回帖 30 粉丝 99 关注私信	cslime 2 13 楼妮可好像不OK,我试也是蓝是系统线程切换导致的cr3还原 hook swapcontext就行或者切cr3读写时irql>=2,直接不触发dpc回调 2020-12-16 23:42 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 14 楼 cslime 是系统线程切换导致的cr3还原 hook swapcontext就行或者切cr3读写时irql>=2,直接不触发dpc回调 KIRQL oldirql = KeRaiseIrqlToDpcLevel(); DRIVER_IRQL_NOT_LESS_OR_EQUAL 我姿势不对? 2020-12-17 05:02 0
DreamForest 雪币： 37 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	DreamForest 15 楼 mb_pgsxqpgq 兄弟,切换CR3缺页问题怎么解决的? 同问 2022-7-28 18:59 0
lwl 雪币： 660 活跃值： (1465) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 48 粉丝 14 关注私信	lwl 16 楼这个问题不是很简单嘛，锁页啥的，这不是基本操作， 2022-7-28 19:41 0
DreamForest 雪币： 37 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	DreamForest 17 楼 lwl 这个问题不是很简单嘛，锁页啥的，这不是基本操作，我用MDL锁页之后也会出现同样的情况，或许是我姿势不对？ Attach(); PMDL read_mdl = IoAllocateMdl(Address, Length, FALSE, FALSE, NULL); __try { MmBuildMdlForNonPagedPool(read_mdl); PVOID Mapaddr = MmMapLockedPagesSpecifyCache(read_mdl, KernelMode, MmCached, NULL, FALSE, NormalPagePriority); RtlCopyMemory(Buffer, Mapaddr, Length); MmUnmapLockedPages(Address, read_mdl); } __except (1) { } if (read_mdl) IoFreeMdl(read_mdl); Detach(); 2022-7-29 18:49 0
sanqiu 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 41 粉丝 5 关注私信	sanqiu 18 楼 hzqst 一般是牢饭没吃够造成的很好奇别人明明是正常问问题，你为什么总是爱扯到吃牢饭 2022-12-2 03:28 0
SSH山水画雪币： 1465 活跃值： (14637) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 326 粉丝 371 关注私信	SSH山水画 3 19 楼很刑啊，越来越有判头了 2022-12-2 07:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

lwbkanxue

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 2 楼一般是牢饭没吃够造成的 2019-5-22 20:13 0
萌克力雪币： 433 活跃值： (1895) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 32 关注私信	萌克力 3 楼不要问问就三年以上 2019-5-22 20:16 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 4 楼萌克力不要问问就三年以上还有几十万罚金 2019-5-22 20:28 0
黑洛雪币： 6124 活跃值： (4471) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 70 关注私信	黑洛 1 5 楼别问问就是先罚20w 2019-5-22 20:30 0
lwbkanxue 雪币： 460 活跃值： (483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 53 粉丝 7 关注私信	lwbkanxue 6 楼纯技术技术交流，CR3毛病多。 2019-5-22 21:16 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 7 楼 lwbkanxue [em_78]纯技术技术交流，CR3毛病多。你和前几个人说的话一样，不过他们都去吃国家饭了 2019-5-23 08:06 0
whathhh 雪币： 712 活跃值： (121) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 88 粉丝 2 关注私信	whathhh 8 楼内存释放了吧最后于 2019-5-23 08:54 被whathhh编辑，原因： 2019-5-23 08:53 0
lwbkanxue 雪币： 460 活跃值： (483) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 53 粉丝 7 关注私信	lwbkanxue 9 楼 keattchprocess 附加没问题，CR3就蹦，应该是在切换CR3后出现的问题吧 2019-5-23 10:44 0
cslime 雪币： 3129 活跃值： (3663) 能力值： ( LV8，RANK：158 ) 在线值：发帖 8 回帖 30 粉丝 99 关注私信	cslime 2 10 楼本人也遇到过此问题直接切换cr3过几秒之后cr3就会又恢复原来的值.. 猜测可能是内核里面的一条检测线程还原了自身创建线程的CR3,也许是啥各种不合法之类的翻了一下wrk里面KeAttachProcess的代码,把线程apc->Process改成要附加的那个进程的Eprocess就OK 2019-5-26 21:37 1
mb_pgsxqpgq 雪币： 367 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	mb_pgsxqpgq 11 楼兄弟,切换CR3缺页问题怎么解决的? 2019-11-11 17:13 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 12 楼 cslime 本人也遇到过此问题直接切换cr3过几秒之后cr3就会又恢复原来的值.. 猜测可能是内核里面的一条检测线程还原了自身创建线程的CR3,也许是啥各种不合法之类的翻了一下wrk里面KeAttach ... 好像不OK,我试也是蓝 2020-12-15 14:34 0
cslime 雪币： 3129 活跃值： (3663) 能力值： ( LV8，RANK：158 ) 在线值：发帖 8 回帖 30 粉丝 99 关注私信	cslime 2 13 楼妮可好像不OK,我试也是蓝是系统线程切换导致的cr3还原 hook swapcontext就行或者切cr3读写时irql>=2,直接不触发dpc回调 2020-12-16 23:42 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 14 楼 cslime 是系统线程切换导致的cr3还原 hook swapcontext就行或者切cr3读写时irql>=2,直接不触发dpc回调 KIRQL oldirql = KeRaiseIrqlToDpcLevel(); DRIVER_IRQL_NOT_LESS_OR_EQUAL 我姿势不对? 2020-12-17 05:02 0
DreamForest 雪币： 37 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	DreamForest 15 楼 mb_pgsxqpgq 兄弟,切换CR3缺页问题怎么解决的? 同问 2022-7-28 18:59 0
lwl 雪币： 660 活跃值： (1465) 能力值： ( LV4，RANK：40 ) 在线值：发帖 4 回帖 48 粉丝 14 关注私信	lwl 16 楼这个问题不是很简单嘛，锁页啥的，这不是基本操作， 2022-7-28 19:41 0
DreamForest 雪币： 37 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	DreamForest 17 楼 lwl 这个问题不是很简单嘛，锁页啥的，这不是基本操作，我用MDL锁页之后也会出现同样的情况，或许是我姿势不对？ Attach(); PMDL read_mdl = IoAllocateMdl(Address, Length, FALSE, FALSE, NULL); __try { MmBuildMdlForNonPagedPool(read_mdl); PVOID Mapaddr = MmMapLockedPagesSpecifyCache(read_mdl, KernelMode, MmCached, NULL, FALSE, NormalPagePriority); RtlCopyMemory(Buffer, Mapaddr, Length); MmUnmapLockedPages(Address, read_mdl); } __except (1) { } if (read_mdl) IoFreeMdl(read_mdl); Detach(); 2022-7-29 18:49 0
sanqiu 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 41 粉丝 5 关注私信	sanqiu 18 楼 hzqst 一般是牢饭没吃够造成的很好奇别人明明是正常问问题，你为什么总是爱扯到吃牢饭 2022-12-2 03:28 0
SSH山水画雪币： 1465 活跃值： (14637) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 326 粉丝 371 关注私信	SSH山水画 3 19 楼很刑啊，越来越有判头了 2022-12-2 07:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复