-
-
[原创]分析Win732位 ntkrnlpa.exe中的MiIsAddressValid
-
发表于: 2021-11-23 18:11 6815
-
先随便申请一个地址(000E0000),写入内容:
然后咧,去看哈CR3:
DirBase:7e7454c0
然后咧,拆分一哈地址(000E0000):
00 0 PDPTE
000000000 0 PDE
011100000 e0*8 = 700 PTE
000 0 真实地址偏移
看不懂没关系,接着往下看:
这个0x59e81801 因为cr3指向PDPTD的首地址,加上一个偏移(现在是0,因为第一次拆分是0)就是PDPTE
记录一哈 :59e81000 抹掉后三位,因为后三位是标志位。
用上面列个加上第二个拆分的值:
那么这个0x38200867就是PDE咯?(实践方法:跟下去看看)
一通操作过后得到:
和最开始写入的数据相同,看来分析的没错。至此这个东东分析完毕。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2021-11-23 18:46
被wx_罗罗_882编辑
,原因:
赞赏
看原图
赞赏
雪币:
留言: