[原创]简单的早期"EAC将bigpools导出以寻找可能映射的驱动程序"利用清空-软件逆向-看雪安全社区

[原创]简单的早期"EAC将bigpools导出以寻找可能映射的驱动程序"利用清空

发表于: 2025-1-24 13:36 16518

[原创]简单的早期"EAC将bigpools导出以寻找可能映射的驱动程序"利用清空

S极客

2025-1-24 13:36

16518

内存区域划分布局已有资料表述

PoolBigPageTable 是 Windows 操作系统内核中一个非常重要的数据结构，它用来管理和跟踪大页内存（Big Pages）的分配和使用情况。
以下均以WIN10 21H2为例
图片描述
如上图所示
在IDA中 "ExFreeHeapPool"函数有关于PoolBigPageTable"表中"对于指定地址如何查找其在表中的位置.

代码中myself_expoolTag为实验假设开辟的内存,PoolBigPageTableSize_val为系统全局变量大小
通过如上代码运算可以得到指定index 之后根据上述微软的计算过程
以及对应每一块"内存包"的结构体:

上述代码左侧的式子得到之后,便与自己开辟的地址进行比较如果不一样则index+1亦或者左侧代码+0x18到下一个正常2次循环便可以得到指定地址

如果不按照2次及以下查找也可以像上述代码一样暴力.在此利用不再赘述
最后你便可以选择抹去此表中的信息块

注意:算法在不同的微软系统版本不同,请自行查阅.

index = (((0x9E5F * (unsigned __int64)(unsigned int)((ULONG64)myself_expoolTag >> 0xC)) >> 0x20) ^

(0x9E5F * (unsigned __int64)(unsigned int)((ULONG64)myself_expoolTag >> 0xC))) & (unsigned int)(*(ULONG64*)PoolBigPageTableSize_val - 1);

index = (((0x9E5F * (unsigned __int64)(unsigned int)((ULONG64)myself_expoolTag >> 0xC)) >> 0x20) ^

(0x9E5F * (unsigned __int64)(unsigned int)((ULONG64)myself_expoolTag >> 0xC))) & (unsigned int)(*(ULONG64*)PoolBigPageTableSize_val - 1);

// 定义 Pool_Info 结构体
typedef struct _Pool_Info {
    volatile ULONGLONG Va;                                                  //0x0
    ULONG Key;                                                              //0x8
    ULONG Pattern : 8;                                                        //0xc
    ULONG PoolType : 12;                                                      //0xc
    ULONG SlushSize : 12;                                                     //0xc
    ULONGLONG NumberOfBytes;
} Pool_Info, * pPool_Info;

// 定义 Pool_Info 结构体

typedef struct _Pool_Info {

volatile ULONGLONG Va;

//0x0

ULONG Key;

//0x8

ULONG Pattern : 8; //0xc

ULONG PoolType : 12; //0xc

ULONG SlushSize : 12; //0xc

ULONGLONG NumberOfBytes;

} Pool_Info, * pPool_Info;

*(_QWORD *)(PoolBigPageTable_buffer + 24i64 * (unsigned int)index) != memory_viraddress

ULONG64 End_PoolBigPageTable = *(ULONG64*)PoolBigPageTable_val + *(ULONG64*)PoolBigPageTableSize_val * 0x18;
                fix_pool = *(ULONG64*)PoolBigPageTable_val;
                while (fix_pool < End_PoolBigPageTable)
                {
                     
                    tempPoolInfo = (pPool_Info)fix_pool;
                    if (tempPoolInfo->Va == 0)
                    {
                        fix_pool += 0x18;
                        continue;
                    }
                    if (tempPoolInfo->Va == (ULONG64)myself_expoolTag)
                    {
                        DbgPrint("找到匹配的修复信息地址,地址为: %llx\r\n", fix_pool);
                        isFound = true;
                        break;
                    }
                    fix_pool += 0x18;
                }

ULONG64 End_PoolBigPageTable = *(ULONG64*)PoolBigPageTable_val + *(ULONG64*)PoolBigPageTableSize_val * 0x18;

fix_pool = *(ULONG64*)PoolBigPageTable_val;

while (fix_pool < End_PoolBigPageTable)

回复或点赞可查看完整内容

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

#系统底层 #软件保护 #加密算法

收藏・115

免费・101

支持

赞赏记录

参与人

雪币

留言

时间

一只萌新

你的分享对大家帮助很大，非常感谢！

2025-10-14 04:50

周旋久

期待更多优质内容的分享，论坛有你更精彩！

2025-10-1 00:07

mb_oaulfthw

感谢你分享这么好的资源！

2025-9-21 05:04

PLEBFE

感谢你的贡献，论坛因你而更加精彩！

2025-9-7 04:28

CreateSun

感谢你的积极参与，期待更多精彩内容！

2025-8-29 10:10

wx_起飞！

期待更多优质内容的分享，论坛有你更精彩！

2025-8-20 17:10

mayamyth

感谢你分享这么好的资源！

2025-8-17 19:38

~self

感谢你的积极参与，期待更多精彩内容！

2025-7-14 02:44

齐格弗里德

谢谢你的细致分析，受益匪浅！

2025-7-12 19:26

ldljlzw

这个讨论对我很有帮助，谢谢！

2025-7-9 15:59

mb_hmukhnsz

期待更多优质内容的分享，论坛有你更精彩！

2025-6-29 15:09

mb_vmdpdaoc

期待更多优质内容的分享，论坛有你更精彩！

2025-6-24 13:20

wxads5639

这个讨论对我很有帮助，谢谢！

2025-6-20 03:15

情未央丶

这个讨论对我很有帮助，谢谢！

2025-6-17 14:18

风铃i

期待更多优质内容的分享，论坛有你更精彩！

2025-6-17 11:26

mb_mfltteia

感谢你的贡献，论坛因你而更加精彩！

2025-6-8 01:57

larf

期待更多优质内容的分享，论坛有你更精彩！

2025-6-5 03:01

mb_soqpzdaf

感谢你的贡献，论坛因你而更加精彩！

2025-6-4 23:53

coreofthesun

非常支持你的观点！

2025-5-21 14:23

mb_thmdyxrm

谢谢你的细致分析，受益匪浅！

2025-5-15 10:04

MANKVIS

感谢你的积极参与，期待更多精彩内容！

2025-5-15 09:44

两支穿云箭

非常支持你的观点！

2025-4-28 11:54

mb_owiqdaph

感谢你的贡献，论坛因你而更加精彩！

2025-4-28 08:46

samshine

感谢你的贡献，论坛因你而更加精彩！

2025-4-28 06:47

mb_ejekfyqx

为你点赞！

2025-4-20 11:56

git_46183EBalloon

你的帖子非常有用，感谢分享！

2025-4-17 18:12

wx_R_837

非常支持你的观点！

2025-4-14 05:30

wx_U_439

你的帖子非常有用，感谢分享！

2025-3-25 15:19

starkin

感谢你的积极参与，期待更多精彩内容！

2025-3-21 15:28

九月心情

为你点赞！

2025-3-21 12:31

Abelly

感谢你的积极参与，期待更多精彩内容！

2025-3-21 10:59

蜉蝣129

为你点赞！

2025-3-21 00:28

wx_null_292

你的帖子非常有用，感谢分享！

2025-3-11 13:44

mb_tgixxspz

非常支持你的观点！

2025-3-9 15:54

凵凵

感谢你的贡献，论坛因你而更加精彩！

2025-3-9 15:50

zxxxxxxr

感谢你的贡献，论坛因你而更加精彩！

2025-3-7 16:56

mb_kkryygzw

你的分享对大家帮助很大，非常感谢！

2025-3-5 22:54

sanyoo

非常支持你的观点！

2025-3-4 15:14

陌上陌下

感谢你的积极参与，期待更多精彩内容！

2025-3-3 19:57

生於安樂

期待更多优质内容的分享，论坛有你更精彩！

2025-3-3 15:40

mb_mgnpyowy

感谢你分享这么好的资源！

2025-3-3 00:53

kaokaoyou

为你点赞！

2025-3-2 17:06

aljt_糖刀

非常支持你的观点！

2025-2-23 01:17

熬夜伤身

为你点赞！

2025-2-17 16:45

顽劣

为你点赞！

2025-2-17 00:30

mb_ejoeescu

期待更多优质内容的分享，论坛有你更精彩！

2025-2-16 01:10

BDBig

为你点赞！

2025-2-15 21:35

梦里看花

你的帖子非常有用，感谢分享！

2025-2-13 14:35

asd

感谢你的贡献，论坛因你而更加精彩！

2025-2-12 22:21

wx_巨巨巨巨子大人

非常支持你的观点！

2025-2-12 09:12

青史无疆

感谢你分享这么好的资源！

2025-2-11 21:50

wowocock

你的分享对大家帮助很大，非常感谢！

2025-2-11 10:18

qqzxc

你的帖子非常有用，感谢分享！

2025-2-10 11:29

jhthaotian

你的帖子非常有用，感谢分享！

2025-2-8 15:34

AlwaysBetter

为你点赞！

2025-2-8 10:10

湿求了鸭

感谢你分享这么好的资源！

2025-2-8 00:38

北门观雪

这个讨论对我很有帮助，谢谢！

2025-2-7 23:14

黑手鱼

为你点赞！

2025-2-7 22:53

EX呵呵

这个讨论对我很有帮助，谢谢！

2025-2-7 21:31

厌倦

感谢你分享这么好的资源！

2025-2-7 10:42

煜凡

这个讨论对我很有帮助，谢谢！

2025-2-7 09:38

令狐双

你的帖子非常有用，感谢分享！

2025-2-6 21:28

advl

这个讨论对我很有帮助，谢谢！

2025-2-6 17:46

mb_hkqnanbs

你的帖子非常有用，感谢分享！

2025-2-6 17:29

DawnDawnDawn

期待更多优质内容的分享，论坛有你更精彩！

2025-2-6 10:51

Zyano

+10

感谢你分享这么好的资源！

2025-2-6 10:08

z许

感谢你的贡献，论坛因你而更加精彩！

2025-2-6 09:52

dx苹果的心愿

感谢你分享这么好的资源！

2025-2-6 09:30

寒冰心结

这个讨论对我很有帮助，谢谢！

2025-2-6 08:19

Lnju

期待更多优质内容的分享，论坛有你更精彩！

2025-2-5 19:18

mb_tfxmczhw

期待更多优质内容的分享，论坛有你更精彩！

2025-2-5 18:52

5k1l

感谢你分享这么好的资源！

2025-2-5 11:20

TkBinary

感谢你的积极参与，期待更多精彩内容！

2025-2-5 10:39

mb_rveckyle

为你点赞！

2025-2-5 09:48

killleer

感谢你分享这么好的资源！

2025-2-4 22:14

灰灰Hui

期待更多优质内容的分享，论坛有你更精彩！

2025-2-3 10:26

mb_juuexlrb

感谢你的积极参与，期待更多精彩内容！

2025-2-3 08:54

熟悉而又陌生

感谢你的贡献，论坛因你而更加精彩！

2025-2-2 00:09

mb_jyivafye

为你点赞！

2025-2-1 23:41

qj111111

你的帖子非常有用，感谢分享！

2025-1-31 20:00

chow

这个讨论对我很有帮助，谢谢！

2025-1-31 06:29

Prompto

你的帖子非常有用，感谢分享！

2025-1-30 21:12

麦瑞鸭

为你点赞！

2025-1-29 18:59

moshuiD

感谢你的积极参与，期待更多精彩内容！

2025-1-29 14:49

wjhwjhn

为你点赞！

2025-1-29 12:44

maxwudi

你的帖子非常有用，感谢分享！

2025-1-29 00:31

璀璨访华

你的帖子非常有用，感谢分享！

2025-1-28 23:17

戒烟

你的帖子非常有用，感谢分享！

2025-1-28 23:14

DaiXiaoHuer

感谢你分享这么好的资源！

2025-1-27 14:33

榆一

你的帖子非常有用，感谢分享！

2025-1-27 13:05

墨穹呢

非常支持你的观点！

2025-1-26 15:21

汐网络邢

你的帖子非常有用，感谢分享！

2025-1-26 08:52

0xC5

感谢你分享这么好的资源！

2025-1-26 05:03

mb_dtidoewd

你的帖子非常有用，感谢分享！

2025-1-25 13:05

piaoyi587

为你点赞！

2025-1-25 08:14

mb_gqhzzubh

你的帖子非常有用，感谢分享！

2025-1-25 02:13

syser

这个讨论对我很有帮助，谢谢！

2025-1-25 01:46

我的小拇指啊

感谢你分享这么好的资源！

2025-1-25 00:03

xxxark

感谢你分享这么好的资源！

2025-1-24 23:53

东城狂人

谢谢你的细致分析，受益匪浅！

2025-1-24 20:26

huangyalei

感谢你的积极参与，期待更多精彩内容！

2025-1-24 16:44

最新回复 (48) 1 2 ▶
逆向爱好者雪币： 2743 活跃值： (6243) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 226 粉丝 24 关注私信	逆向爱好者 2 楼牛逼牛逼 2025-1-24 23:57 0
不吃麻婆豆腐雪币： 2055 活跃值： (516) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 71 粉丝 13 关注私信	不吃麻婆豆腐 3 楼 1 2025-1-25 06:07 0
丶kk 雪币： 914 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	丶kk 4 楼 111 2025-1-25 09:53 0
fujing 雪币： 3853 活跃值： (5529) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 139 粉丝 4 关注私信	fujing 5 楼感谢你分享这么好的资源！ 2025-1-25 12:50 0
Imxz 雪币： 104 活跃值： (7074) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 355 粉丝 7 关注私信	Imxz 6 楼 666666666666666666666 2025-1-28 00:46 0
mb_dfkgqxmh 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	mb_dfkgqxmh 7 楼 tyty 2025-1-29 12:59 1
CCTV9 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 30 粉丝 2 关注私信	CCTV9 8 楼 66666666666666666 2025-2-3 00:11 0
wx_庸才雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	wx_庸才 9 楼 2 2025-2-5 10:32 0
lytywg 雪币： 682 活跃值： (1630) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 71 粉丝 1 关注私信	lytywg 10 楼 66666666…… 2025-2-6 04:38 0
eroy 雪币： 1529 活跃值： (2498) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 67 粉丝 0 关注私信	eroy 11 楼 66666666…… 2025-2-6 10:26 0
OmenFk 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 13 粉丝 1 关注私信	OmenFk 12 楼我来看看！！ 2025-2-6 15:16 0
Deice 雪币： 113 活跃值： (1530) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	Deice 13 楼感谢你分享这么好的资源！ 2025-2-6 15:52 0
mb_fzwldzav 雪币： 259 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 44 粉丝 0 关注私信	mb_fzwldzav 14 楼我来看看！！ 2025-2-6 15:56 0
龙幽雪币： 325 活跃值： (958) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 91 粉丝 3 关注私信	龙幽 1 15 楼 666-999 2025-2-6 20:48 0
兔子头雪币： 213 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	兔子头 16 楼我来看看！！ 2025-2-7 09:49 0
0x太上雪币： 404 活跃值： (4409) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 29 粉丝 161 关注私信	0x太上 17 楼我来看看！！ 2025-2-7 16:00 0
bisoso 雪币： 99 活跃值： (1162) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 0 关注私信	bisoso 18 楼具体看看思路！ 2025-2-7 20:09 0
WindBlow小迪雪币： 48 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	WindBlow小迪 19 楼学习下 2025-2-7 20:12 0
mb_aorspzpl 雪币： 31 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	mb_aorspzpl 20 楼学习下 2025-2-7 21:49 0
mb_krgitgos 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_krgitgos 21 楼学习下 2025-2-10 16:21 0
mb_lsovogbn 雪币： 7 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	mb_lsovogbn 22 楼 1 2025-2-12 01:55 0
wodexinren 雪币： 74 活跃值： (1123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 227 粉丝 0 关注私信	wodexinren 23 楼学习下 2025-2-12 09:49 0
PeterZheng 雪币： 1110 活跃值： (2685) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	PeterZheng 24 楼看看！ 2025-2-12 10:18 0
Orange88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	Orange88 25 楼看看吧 2025-2-12 12:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

S极客

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (48) 1 2 ▶
逆向爱好者雪币： 2743 活跃值： (6243) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 226 粉丝 24 关注私信	逆向爱好者 2 楼牛逼牛逼 2025-1-24 23:57 0
不吃麻婆豆腐雪币： 2055 活跃值： (516) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 71 粉丝 13 关注私信	不吃麻婆豆腐 3 楼 1 2025-1-25 06:07 0
丶kk 雪币： 914 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	丶kk 4 楼 111 2025-1-25 09:53 0
fujing 雪币： 3853 活跃值： (5529) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 139 粉丝 4 关注私信	fujing 5 楼感谢你分享这么好的资源！ 2025-1-25 12:50 0
Imxz 雪币： 104 活跃值： (7074) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 355 粉丝 7 关注私信	Imxz 6 楼 666666666666666666666 2025-1-28 00:46 0
mb_dfkgqxmh 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	mb_dfkgqxmh 7 楼 tyty 2025-1-29 12:59 1
CCTV9 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 30 粉丝 2 关注私信	CCTV9 8 楼 66666666666666666 2025-2-3 00:11 0
wx_庸才雪币： 20 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	wx_庸才 9 楼 2 2025-2-5 10:32 0
lytywg 雪币： 682 活跃值： (1630) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 71 粉丝 1 关注私信	lytywg 10 楼 66666666…… 2025-2-6 04:38 0
eroy 雪币： 1529 活跃值： (2498) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 67 粉丝 0 关注私信	eroy 11 楼 66666666…… 2025-2-6 10:26 0
OmenFk 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 13 粉丝 1 关注私信	OmenFk 12 楼我来看看！！ 2025-2-6 15:16 0
Deice 雪币： 113 活跃值： (1530) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	Deice 13 楼感谢你分享这么好的资源！ 2025-2-6 15:52 0
mb_fzwldzav 雪币： 259 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 44 粉丝 0 关注私信	mb_fzwldzav 14 楼我来看看！！ 2025-2-6 15:56 0
龙幽雪币： 325 活跃值： (958) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 91 粉丝 3 关注私信	龙幽 1 15 楼 666-999 2025-2-6 20:48 0
兔子头雪币： 213 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	兔子头 16 楼我来看看！！ 2025-2-7 09:49 0
0x太上雪币： 404 活跃值： (4409) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 29 粉丝 161 关注私信	0x太上 17 楼我来看看！！ 2025-2-7 16:00 0
bisoso 雪币： 99 活跃值： (1162) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 0 关注私信	bisoso 18 楼具体看看思路！ 2025-2-7 20:09 0
WindBlow小迪雪币： 48 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	WindBlow小迪 19 楼学习下 2025-2-7 20:12 0
mb_aorspzpl 雪币： 31 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	mb_aorspzpl 20 楼学习下 2025-2-7 21:49 0
mb_krgitgos 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_krgitgos 21 楼学习下 2025-2-10 16:21 0
mb_lsovogbn 雪币： 7 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	mb_lsovogbn 22 楼 1 2025-2-12 01:55 0
wodexinren 雪币： 74 活跃值： (1123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 227 粉丝 0 关注私信	wodexinren 23 楼学习下 2025-2-12 09:49 0
PeterZheng 雪币： 1110 活跃值： (2685) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	PeterZheng 24 楼看看！ 2025-2-12 10:18 0
Orange88 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	Orange88 25 楼看看吧 2025-2-12 12:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复