-
-
浅谈内存监控那点事(一)R3篇
-
发表于: 2020-9-30 15:00
-
在已知的内存页面监控有2种
1.只能知道被修改,不能知道修改了哪里
2.R0可以跨进程监控/R3只能监控自身进程
1.可以跨进程监控
2.可以监控被修改页面大小
3.可以监控被修改的内存地址
4.监控被 MmProbeAndLockPages 调用的全部内核函数 即(R3 ReadProcessMemory/WriteProcessMemory -> R0 MmCopyVirtualMemory)
5.监控被Map的地址
6.监控访问页面的线程,通过线程你可以获取 程序的: PID 文件路径 线程地址 等等。
以及C+V地址
效果图:
祝大家:国庆快乐
InitializeProcessForWsWatch 1127
https://github.com/orangebeom/orange/blob/27287ae343a0277d11d4698516d9794edec5c85d/agent/reference/reactos-master/reactos-master/dll/win32/psapi/psapi.c
InitializeProcessForWsWatch 1127
https://github.com/orangebeom/orange/blob/27287ae343a0277d11d4698516d9794edec5c85d/agent/reference/reactos-master/reactos-master/dll/win32/psapi/psapi.c
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
