首页
社区
课程
招聘
[原创]分析Win732位 ntkrnlpa.exe中的MiIsAddressValid
发表于: 2021-11-23 18:11 6830

[原创]分析Win732位 ntkrnlpa.exe中的MiIsAddressValid

2021-11-23 18:11
6830

先随便申请一个地址(000E0000),写入内容:

    

然后咧,去看哈CR3:

DirBase:7e7454c0


然后咧,拆分一哈地址(000E0000):

00 0               PDPTE 

000000000 0               PDE  

011100000   e0*8 = 700  PTE

000 0               真实地址偏移


看不懂没关系,接着往下看:


这个0x59e81801 因为cr3指向PDPTD的首地址,加上一个偏移(现在是0,因为第一次拆分是0)就是PDPTE

记录一哈 :59e81000 抹掉后三位,因为后三位是标志位。



用上面列个加上第二个拆分的值:

那么这个0x38200867就是PDE咯?(实践方法:跟下去看看

一通操作过后得到:

和最开始写入的数据相同,看来分析的没错。至此这个东东分析完毕。



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2021-11-23 18:46 被wx_罗罗_882编辑 ,原因:
收藏
免费 2
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//