win10 1909逆向（通过任意物理帧判断是否是CR3和解密得到所属EPROCESS）

发表于: 2020-9-2 04:14 15059

win10 1909逆向（通过任意物理帧判断是否是CR3和解密得到所属EPROCESS）

学技术打豆豆

活跃值

1

2020-9-2 04:14

15059

前言

目前根据逆向得知，有两种方式判断任意物理帧是否是CR3，其中有一种已经在上一篇文章（CR3无法被MmMapioSpace映射原理和绕过代码）。

那接下来就来介绍第二种方法，不仅可以判断物理帧是否是CR3，而且还能通过解密来得到这个CR3的EPROCESS。

先来一下对比CR3这个物理帧和普通物理帧在PFN数据库里的区别：

对比：

一、任意取一个进程的CR3

二、选个GDTR的物理帧

函数：

ListEntry这个链表的第一项就不同了，具体修改点在函数：MiSetPageTablePfnBuddy（）

登录后可查看完整内容

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

#系统底层 #调试逆向

收藏・48

免费・12

支持

分享

打赏 + 12.00雪花

可爱的小狗子

打赏次数 2

雪花 + 12.00

IKAIL	+10.00	2023/10/08
可爱的小狗子	+2.00	2020/09/02	精品文章～

最新回复 (18)
hzqst 雪币： 12862 活跃值： (9282) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 591 关注私信	hzqst 3 2 楼好活当赏 2020-9-2 07:27 0
实都雪币： 66 活跃值： (3007) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 149 粉丝 1 关注私信	实都 3 楼此处应有掌声 2020-9-2 08:45 0
z许雪币： 1898 活跃值： (1870) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 4 楼流批~~ 2020-9-2 10:09 0
可爱的小狗子雪币： 771 活跃值： (555) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	可爱的小狗子 5 楼牛逼 2020-9-2 10:12 0
黑洛雪币： 6124 活跃值： (4781) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 76 关注私信	黑洛 1 6 楼牛逼 2020-9-2 11:45 0
hackflame 雪币： 178 活跃值： (1293) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 34 粉丝 114 关注私信	hackflame 7 楼就是我发现，除了说牛逼，我都说不出话来 2020-9-2 11:57 0
mydvdf 雪币： 711 活跃值： (253) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 2 关注私信	mydvdf 8 楼牛皮 2020-9-2 12:53 0
如斯咩咩咩雪币： 4709 活跃值： (1640) 能力值： ( LV2，RANK：15 ) 在线值：发帖 1 回帖 154 粉丝 8 关注私信	如斯咩咩咩 9 楼牛批 2020-9-2 18:38 0
X-Blades 雪币： 45 活跃值： (2690) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 5 关注私信	X-Blades 10 楼 six 2020-9-2 19:24 0
学技术打豆豆雪币： 181 活跃值： (8602) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 386 关注私信	学技术打豆豆 1 11 楼 2020-9-3 21:00 0
killpy 雪币： 83 活跃值： (1092) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 12 楼 win7 x64呢也这样吗 2020-9-5 17:55 0
不懂就不懂雪币： 63 活跃值： (3145) 能力值： ( LV7，RANK：110 ) 在线值：发帖 7 回帖 57 粉丝 33 关注私信	不懂就不懂 2 13 楼牛批 2020-9-7 09:56 0
笑熬浆糊雪币： 574 活跃值： (1152) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 232 粉丝 4 关注私信	笑熬浆糊 2 14 楼爽翻,不得不点一下赞 2020-9-22 23:22 0
小希希雪币： 1989 活跃值： (4240) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 340 粉丝 18 关注私信	小希希 15 楼感谢分享 2023-9-17 12:17 0
IKAIL 雪币： 223 活跃值： (1844) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	IKAIL 16 楼唯有牛逼二字才能形容大佬的才华,请收下我的膝盖 2023-10-8 17:54 0
小新菜醒了雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	小新菜醒了 17 楼太强啦佬 2023-11-1 22:10 0
寇 coco 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	寇 coco 18 楼大佬 2023-11-21 11:45 0
wx_我要折断你的旗雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_我要折断你的旗 19 楼大佬大佬 2023-12-14 21:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

学技术打豆豆

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区