-
-
[原创]分析Win732位 ntkrnlpa.exe中的MiIsAddressValid
-
2021-11-23 18:11
-
先随便申请一个地址(000E0000),写入内容:
然后咧,去看哈CR3:
DirBase:7e7454c0
然后咧,拆分一哈地址(000E0000):
00 0 PDPTE
000000000 0 PDE
011100000 e0*8 = 700 PTE
000 0 真实地址偏移
看不懂没关系,接着往下看:
这个0x59e81801 因为cr3指向PDPTD的首地址,加上一个偏移(现在是0,因为第一次拆分是0)就是PDPTE
记录一哈 :59e81000 抹掉后三位,因为后三位是标志位。
用上面列个加上第二个拆分的值:
那么这个0x38200867就是PDE咯?(实践方法:跟下去看看)
一通操作过后得到:
和最开始写入的数据相同,看来分析的没错。至此这个东东分析完毕。
然后我们去看下这个:
得到一个固定的地址 :c0600000
一直不知道这个地址可以拆分,看了
这位同学的文章后才知道,我还以为里面保存着PDT呢,烦死了。
拆分以后看一哈
一通操作过后:
得到0x38200867
所以C0600000就是指向PDT 。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌 握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
最后于 2021-11-23 18:46
被wx_罗罗_882编辑
,原因:
|
|
|---|---|
