1.带有页面分配内存属性的 MEM_WRITE_WATCH

1.只能知道被修改,不能知道修改了哪里
2.R0可以跨进程监控/R3只能监控自身进程

2.性能工作集

1.可以跨进程监控
2.可以监控被修改页面大小
3.可以监控被修改的内存地址
4.监控被 MmProbeAndLockPages 调用的全部内核函数即(R3 ReadProcessMemory/WriteProcessMemory -> R0 MmCopyVirtualMemory）
5.监控被Map的地址
6.监控访问页面的线程，通过线程你可以获取程序的: PID 文件路径线程地址等等。

1 2	`InitializeProcessForWsWatch` `1127` `https://github.com/orangebeom/orange/blob/27287ae343a0277d11d4698516d9794edec5c85d/agent/reference/reactos-master/reactos-master/dll/win32/psapi/psapi.c`

1 2	`GetWsChangesEx` `1152` `https://github.com/orangebeom/orange/blob/27287ae343a0277d11d4698516d9794edec5c85d/agent/reference/reactos-master/reactos-master/dll/win32/psapi/psapi.c`

以及C+V地址

1	`https://gist.github.com/nmulasmajic/de68e1016862024a964220d6a7f1a602`

效果图:

祝大家:国庆快乐

[课程]Linux pwn 探索篇！

上传的附件：

work.zip （2.02kb，113次下载）

收藏・21

免费・3

支持

最新回复 (4)
asd 雪币： 6900 活跃值： (3400) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 2 楼国庆快乐 2020-9-30 15:05 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 3 楼 wswatch必须发生pagefault才能被记录 2020-10-1 12:42 0
niceli 雪币： 273 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	niceli 4 楼 PsWatchEnabled 可以搞定而且 win10 有问题还有MDL 大于512字节都会不稳定 2020-10-5 18:57 0
tmflxw 雪币： 1299 活跃值： (3212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 117 粉丝 19 关注私信	tmflxw 5 楼不支持32位···。。。。 2022-5-3 14:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

viphack

135

发帖

1009

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (4)
asd 雪币： 6900 活跃值： (3400) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 2 楼国庆快乐 2020-9-30 15:05 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 3 楼 wswatch必须发生pagefault才能被记录 2020-10-1 12:42 0
niceli 雪币： 273 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	niceli 4 楼 PsWatchEnabled 可以搞定而且 win10 有问题还有MDL 大于512字节都会不稳定 2020-10-5 18:57 0
tmflxw 雪币： 1299 活跃值： (3212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 117 粉丝 19 关注私信	tmflxw 5 楼不支持32位···。。。。 2022-5-3 14:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复