在已知的内存页面监控有2种
1.只能知道被修改,不能知道修改了哪里 2.R0可以跨进程监控/R3只能监控自身进程
1.可以跨进程监控 2.可以监控被修改页面大小 3.可以监控被修改的内存地址 4.监控被 MmProbeAndLockPages 调用的全部内核函数 即(R3 ReadProcessMemory/WriteProcessMemory -> R0 MmCopyVirtualMemory) 5.监控被Map的地址 6.监控访问页面的线程,通过线程你可以获取 程序的: PID 文件路径 线程地址 等等。
InitializeProcessForWsWatch
1127
https:
/
github.com
orangebeom
orange
blob
27287ae343a0277d11d4698516d9794edec5c85d
agent
reference
reactos
-
master
dll
win32
psapi
psapi.c
[注意]看雪招聘,专注安全领域的专业人才平台!