[求助]r3下有办法知道ntoskrnl所在物理地址范围么-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2023-5-15 09:30 2 楼 0 你说的东西，也许火哥知道
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 320 粉丝 10 关注私信	mb_foyotena 2023-5-15 09:48 3 楼 0 大黄狗知道
suuuuu 雪币： 839 活跃值： (5014) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 295 粉丝 7 关注私信	suuuuu 2023-5-15 14:24 4 楼 0 华哥知道，不过他正在西瓜摊买瓜
joker陈雪币： 10214 活跃值： (2240) 能力值： ( LV5，RANK：71 ) 在线值：发帖 21 回帖 330 粉丝 3 关注私信	joker陈 2023-5-16 11:54 5 楼 0 ntquerysysteminfromation
saloyun 雪币： 149 活跃值： (2023) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 223 粉丝 0 关注私信	saloyun 2023-5-16 12:00 6 楼 0 ZwQuerySystemInformation +SystemModuleInformation NTSTATUS nStatus = STATUS_SUCCESS; ULONG ulBytes = 0; PRTL_PROCESS_MODULES pMods = nullptr; std::unique_ptr<char[]> pBuffers = nullptr; do { nStatus = ZwQuerySystemInformation(SystemModuleInformation, 0, ulBytes, &ulBytes); if (ulBytes == 0) { break; } pBuffers = std::make_unique<char[]>(ulBytes); RtlZeroMemory(pBuffers.get(), ulBytes); pMods = (PRTL_PROCESS_MODULES)pBuffers.get(); nStatus = ZwQuerySystemInformation(SystemModuleInformation, pMods, ulBytes, &ulBytes); if (!NT_SUCCESS(nStatus)) { break; } PRTL_PROCESS_MODULE_INFORMATION pMod = pMods->Modules; for (ULONG i = 0; i < pMods->NumberOfModules; i++) { PCHAR pFileName = strrchr((char)(pMod[i].FullPathName), '\\'); if (NULL != pFileName) { if (0 == _stricmp("\\ntoskrnl.exe", pFileName) \|\| 0 == _stricmp("\\ntkrnlmp.exe", pFileName) \|\| 0 == _stricmp("\\ntkrnlpa.exe", pFileName) \|\| 0 == _stricmp("\\ntkrpamp.exe", pFileName) ) { std::cout << pMod[i].FullPathName << "-->0x" << std::hex << pMod[i].ImageBase << std::endl; break; } } else { if (0 == _stricmp("ntoskrnl.exe", (char)pMod[i].FullPathName) \|\| 0 == _stricmp("ntkrnlmp.exe", (char)pMod[i].FullPathName) \|\| 0 == _stricmp("ntkrnlpa.exe", (char)pMod[i].FullPathName) \|\| 0 == _stricmp("ntkrpamp.exe", (char*)pMod[i].FullPathName) ) { std::cout << pMod[i].FullPathName << "-->0x" << std::hex << pMod[i].ImageBase << std::endl; break; } } } } while (0);
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2023-5-16 14:27 7 楼 0 saloyun ZwQuerySystemInformation +SystemModuleInformation NTSTATUS nStatus = STAT ... 经典审题不仔细
yimingqpa 雪币： 5855 活跃值： (3670) 能力值： ( LV10，RANK：163 ) 在线值：发帖 37 回帖 492 粉丝 47 关注私信	yimingqpa 1 2023-5-16 16:00 8 楼 0 NtSystemDebugControl SysDbgReadPhysical if ( KdPitchDebugger && !KdLocalDebugEnabled && ((a1 - 0x1D) & 0xFFFFFFF7) != 0 ) return;
saloyun 雪币： 149 活跃值： (2023) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 223 粉丝 0 关注私信	saloyun 2023-5-16 16:50 9 楼 0 hzqst 经典审题不仔细 ,物理地址，这是想干啥。。。。
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 69 粉丝 3 关注私信	妮可 2023-5-16 20:24 10 楼 0 yimingqpa NtSystemDebugControl SysDbgReadPhysical if ( KdPitchDebugger && !KdLocalDebugEnabled && ... 这个函数是直接读物理内存吗,你下面的判断貌似和调试器标志有关?看不懂
crackcc 雪币： 187 活跃值： (833) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	crackcc 2023-5-17 08:55 11 楼 0 saloyun [em_10][em_10][em_10],物理地址，这是想干啥。。。。猜测是有个漏洞驱动，暴露的ioctl没有vtop，只有写物理内存，他想利用下
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 69 粉丝 3 关注私信	妮可 2023-5-17 10:54 12 楼 0 crackcc 猜测是有个漏洞驱动，暴露的ioctl没有vtop，只有写物理内存，他想利用下哈哈,被你猜到了.不能映射页表只能直接读写物理内存,只要能定位到nt的物理地址,别的啥都解决,目前暴力搜索.观察了一些电脑,发现w11以前的物理地址是4字节,w11后就是8字节了,还有跟物理内存容量也有些关系,不好确定
mataoyong 雪币： 220 活跃值： (526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 1 关注私信	mataoyong 2023-7-13 03:15 13 楼 0 saloyun ZwQuerySystemInformation +SystemModuleInformation NTSTATUS nStatus = STAT ... 可以参考下枚举楼上回复的枚举内核模块地址，大小那个。那个枚举出来的是虚拟地址例如说0xFFFFF8000545B000，但是大多数情况这个地址的低32位就是物理地址
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

万剑归宗

雪币： 914

活跃值： (2188)

能力值：

( LV5，RANK：68 )

在线值：

发帖

6

回帖

545

粉丝

33

关注

私信

万剑归宗 1 2023-5-15 09:30: 2 楼
0

你说的东西，也许火哥知道

mb_foyotena

雪币： 477

活跃值： (1412)

能力值：

( LV2，RANK：10 )

在线值：

发帖

8

回帖

320

粉丝

10

关注

私信

mb_foyotena 2023-5-15 09:48: 3 楼
0

大黄狗知道

suuuuu

雪币： 839

活跃值： (5014)

能力值：

( LV2，RANK：10 )

在线值：

发帖

22

回帖

295

粉丝

7

关注

私信

suuuuu 2023-5-15 14:24: 4 楼
0

华哥知道，不过他正在西瓜摊买瓜

joker陈

雪币： 10214

活跃值： (2240)

能力值：

( LV5，RANK：71 )

在线值：

发帖

21

回帖

330

粉丝

3

关注

私信

joker陈 2023-5-16 11:54: 5 楼
0

ntquerysysteminfromation

saloyun

雪币： 149

活跃值： (2023)

能力值：

( LV2，RANK：10 )

在线值：

发帖

6

回帖

223

粉丝

0

关注

私信

saloyun 2023-5-16 12:00: 6 楼
0

ZwQuerySystemInformation +SystemModuleInformation

	NTSTATUS nStatus = STATUS_SUCCESS;
	ULONG ulBytes = 0;
	PRTL_PROCESS_MODULES pMods = nullptr;
	std::unique_ptr<char[]> pBuffers = nullptr;
	do
	{
		nStatus = ZwQuerySystemInformation(SystemModuleInformation, 0, ulBytes, &ulBytes);
		if (ulBytes == 0)
		{
			break;
		}
		pBuffers = std::make_unique<char[]>(ulBytes);
		RtlZeroMemory(pBuffers.get(), ulBytes);

		pMods = (PRTL_PROCESS_MODULES)pBuffers.get();
		nStatus = ZwQuerySystemInformation(SystemModuleInformation, pMods, ulBytes, &ulBytes);
		if (!NT_SUCCESS(nStatus))
		{
			break;
		}

		PRTL_PROCESS_MODULE_INFORMATION pMod = pMods->Modules;
		for (ULONG i = 0; i < pMods->NumberOfModules; i++)
		{
			PCHAR pFileName = strrchr((char*)(pMod[i].FullPathName), '\\');
			if (NULL != pFileName)
			{
				if (0 == _stricmp("\\ntoskrnl.exe", pFileName) ||
					0 == _stricmp("\\ntkrnlmp.exe", pFileName) ||
					0 == _stricmp("\\ntkrnlpa.exe", pFileName) ||
					0 == _stricmp("\\ntkrpamp.exe", pFileName)
					)
				{
					std::cout << pMod[i].FullPathName << "-->0x" << std::hex << pMod[i].ImageBase << std::endl;
					break;
				}
			}
			else
			{
				if (0 == _stricmp("ntoskrnl.exe", (char*)pMod[i].FullPathName) ||
					0 == _stricmp("ntkrnlmp.exe", (char*)pMod[i].FullPathName) ||
					0 == _stricmp("ntkrnlpa.exe", (char*)pMod[i].FullPathName) ||
					0 == _stricmp("ntkrpamp.exe", (char*)pMod[i].FullPathName)
					)
				{
					std::cout << pMod[i].FullPathName << "-->0x" << std::hex << pMod[i].ImageBase << std::endl;
					break;
				}
			}
		}

	} while (0);