首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 编程技术
    3. 发新帖
[求助]不挂靠进程读写内存
2021-7-19 16:23 12334

[求助]不挂靠进程读写内存

哎哟哥哥^ 活跃值
2021-7-19 16:23
12334

刚刚和群友交流,了解到可以不挂靠进程读写其他进程内存。
问:不挂靠进程,如何取到虚拟内存的物理地址
答:已知被读进程的CR3,该CR3是物理地址,映射该地址就可以的到这个进程的所有物理地址

 

这是什么原理???我没理解


[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
点赞0
打赏
分享
最新回复 (8)
iamasbcx
雪    币: 2219
活跃值: (2348)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
iamasbcx 2021-7-19 18:17
2
0
驱动层读写基操
cslime
雪    币: 2912
活跃值: (3483)
能力值: ( LV8,RANK:148 )
在线值:
发帖
回帖
粉丝
私信
cslime 2 2021-7-28 12:15
3
0
能实现任意读写物理内存就能 不挂靠进程读写内存
你得自己想办法
厌倦
雪    币: 1062
活跃值: (1297)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
厌倦 2021-7-30 18:19
4
0
遍历四级页表
Otoboku
雪    币: 199
活跃值: (73)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
Otoboku 2021-8-9 16:41
5
0

正常tp保护,cr3基本拿不到

最后于 2021-8-9 16:41 被Otoboku编辑 ,原因:
冷小莫
雪    币: 0
活跃值: (121)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
冷小莫 2021-11-20 14:55
6
0
MDL方式读写内存试试
mb_kppjdiod
雪    币: 63
活跃值: (693)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
mb_kppjdiod 2022-8-31 04:06
7
0
就是读页表
逆向爱好者
雪    币: 907
活跃值: (3454)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
逆向爱好者 2023-5-6 15:44
8
0
Otoboku 正常tp保护,cr3基本拿不到
监控进程加载拿cr3可以吗
PEDIY
雪    币: 1792
活跃值: (5189)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
PEDIY 2023-5-7 22:01
9
1
Otoboku 正常tp保护,cr3基本拿不到
tp不导致patchguard么
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回