首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
win10 1909逆向(通过任意物理帧判断是否是CR3和解密得到所属EPROCESS)
发表于: 2020-9-2 04:14 15095

win10 1909逆向(通过任意物理帧判断是否是CR3和解密得到所属EPROCESS)

学技术打豆豆 活跃值
1
2020-9-2 04:14
15095

前言

             目前根据逆向得知,有两种方式判断任意物理帧是否是CR3,其中有一种已经在 上一篇文章(CR3无法被MmMapioSpace映射原理和绕过代码)。

       那接下来就来介绍第二种方法,不仅可以判断物理帧是否是CR3,而且还能通过解密来得到这个CR3的EPROCESS。

       先来一下对比CR3这个物理帧和普通物理帧在PFN数据库里的区别:


对比:

一、任意取一个进程的CR3



二、选个GDTR的物理


函数:

ListEntry这个链表的第一项就不同了,具体修改点在函数:MiSetPageTablePfnBuddy()


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 12
支持
分享
打赏 + 12.00雪花
IKAIL
可爱的小狗子
打赏次数 2 雪花 + 12.00
 
赞赏  IKAIL   +10.00 2023/10/08
赞赏  可爱的小狗子   +2.00 2020/09/02 精品文章~
最新回复 (18)
hzqst
雪    币: 12862
活跃值: (9282)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
2
好活当赏
2020-9-2 07:27
0
实都
雪    币: 66
活跃值: (3042)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
此处应有掌声
2020-9-2 08:45
0
z许
雪    币: 1898
活跃值: (1875)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
4
流批~~
2020-9-2 10:09
0
可爱的小狗子
雪    币: 771
活跃值: (555)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
牛逼
2020-9-2 10:12
0
黑洛
雪    币: 6124
活跃值: (4791)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
6
牛逼
2020-9-2 11:45
0
hackflame
雪    币: 178
活跃值: (1298)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
7
就是我发现,除了说牛逼,我都说不出话来
2020-9-2 11:57
0
mydvdf
雪    币: 711
活跃值: (253)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
牛皮
2020-9-2 12:53
0
如斯咩咩咩
雪    币: 4709
活跃值: (1640)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
私信
9
牛批
2020-9-2 18:38
0
X-Blades
雪    币: 45
活跃值: (2695)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
six
2020-9-2 19:24
0
学技术打豆豆
雪    币: 181
活跃值: (8602)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
11
2020-9-3 21:00
0
killpy
雪    币: 83
活跃值: (1092)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
私信
12
win7 x64呢 也这样吗
2020-9-5 17:55
0
不懂就不懂
雪    币: 63
活跃值: (3155)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
私信
13
牛批
2020-9-7 09:56
0
笑熬浆糊
雪    币: 574
活跃值: (1152)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
14
爽翻,不得不点一下赞
2020-9-22 23:22
0
小希希
雪    币: 1989
活跃值: (4245)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
感谢分享
2023-9-17 12:17
0
IKAIL
雪    币: 223
活跃值: (1844)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
16
唯有牛逼二字才能形容大佬的才华,请收下我的膝盖
2023-10-8 17:54
0
小新菜醒了
雪    币: 43
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
17
太强啦 佬
2023-11-1 22:10
0
寇 coco
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
18
大佬 
2023-11-21 11:45
0
wx_我要折断你的旗
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
19
大佬 
大佬 
2023-12-14 21:51
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回