有一内存地址,肯定做了crc检验,因为两分钟就会掉线。在ce看什么访问了这个地址,发现没有访问。所以,得出一个结论:本进程没有对该地址进行crc检验,应该是其他进程进行的crc校验。
因此,本人在驱动层hook了ntreadvisualmemory函数,发现其他进程确实有读取,但是读取范围都不在这个地址内。想请教一下各位,我上面那个结论是否正确,如果正确,其他进程读取 该进程的内存地址,除了ntreadvisualmemory函数,还有其他方式么。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
