首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
哪位大佬可以传道受业解惑下,这个CR3的问题
发表于: 2022-8-25 09:45 5975

哪位大佬可以传道受业解惑下,这个CR3的问题

jielongtang 活跃值
2022-8-25 09:45
5975

看到了一篇帖子,传送门:https://bbs.pediy.com/thread-260443.htm

 

图片描述

 

其中第二步,这个 00000000 + 4394c * 0x30 怎么想都想不通,为什么是 __mpfn 的地址,这个0x30怎么来的,为什么是CR3 * 0x30

 

又没有大佬可以帮忙解释下,十分感谢!


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2022-8-25 09:46 被jielongtang编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (6)
zhang_derek
雪    币: 7018
活跃值: (9199)
能力值: ( LV10,RANK:160 )
在线值:
发帖
回帖
粉丝
私信
2
1. 先dq MMPFNDATABASE得到基地址
2.4394c是物理页索引
3.30是_MMPFN结构体大小
通过索引可以在页帧数据库得到页的属性
2022-8-25 10:21
0
jielongtang
雪    币: 1
活跃值: (4446)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
zhang_derek 1. 先dq MMPFNDATABASE得到基地址 2.4394c是物理页索引 3.30是_MMPFN结构体大小 通过索引可以在页帧数据库得到页的属性
可是 4394c002 是 Dirbase,又称为 cr3 寄存器,指向的是页目录表 pdb 呀,还是不太理解 4394c000 * 0x30 的含义,能不能再给我解释下,感激
2022-8-26 00:06
0
jielongtang
雪    币: 1
活跃值: (4446)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
zhang_derek 1. 先dq MMPFNDATABASE得到基地址 2.4394c是物理页索引 3.30是_MMPFN结构体大小 通过索引可以在页帧数据库得到页的属性
而且 mmpfn 大小是 0x1c 啊,也不是  0x30,难不成作者换算错了么,0x1c 换算成10进制的30了,但是图片里面截图是 *0x30,多了0x前缀啊
2022-8-26 12:11
0
jielongtang
雪    币: 1
活跃值: (4446)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
应该就是作者自己搞错了
2022-8-26 12:12
0
contain_of
雪    币: 387
活跃值: (2657)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
jielongtang 应该就是作者自己搞错了
不同操作系统版本 长度不一定相同吧
2022-8-26 12:56
0
wx_lege
雪    币: 0
活跃值: (75)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7

2023-12-27 20:54
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//