[原创]Win11 24H2 关于MmPfnDatabase变动的浅逆-软件逆向-看雪安全社区

[原创]Win11 24H2 关于MmPfnDatabase变动的浅逆

发表于: 2025-8-16 20:56 4002

[原创]Win11 24H2 关于MmPfnDatabase变动的浅逆

YYF1337

2025-8-16 20:56

4002

本人小白，逆向过程中有什么不足的地方欢迎大佬指正。

原本平平无奇的一天晚上，我愉快地打完游戏准备关机，突然发现之前一直折腾想升级win11但失败的电脑自动更新可以升了，这我自然非常高兴，一股脑嘎巴一下就升好了，整个过程还不到一个小时。但由于玩得太嗨，导致升完才想起来之前写的驱动在win11测试的效果不理想，可升都升了也不想回退，于是花费一天半时间写出了本篇逆向。

首先根据之前大佬的文章可以知道 _MMPFN中ListEntry的第一项是加密后的EPROCESS，分析驱动可得，无法正常获取dirbase的原因正是EPROCESS解密出了问题，解出来的并不是正确的，用IDA查看MiSetPageTablePfnBuddy函数，发现加密EPROCESS的部分改变了 (这里IDA的异或部分有点问题，正确的逻辑应为

，附按照汇编手写的伪代码)

之前的是这样↓

知道了原因去找解决方法，先动调看汇编

这是MiSetPageTablePfnBuddy+0xc8

上文的qword_140E388B8则对应了这里ntkrnlmp!MiState+0xc078

回复或点赞可查看完整内容

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2025-8-19 13:35 被YYF1337编辑，原因：

#调试逆向

收藏・101

免费・89

支持

赞赏记录

参与人

雪币

留言

时间

xieemengxin

这个讨论对我很有帮助，谢谢！

2天前

mb_fhirwufw

你的帖子非常有用，感谢分享！

5天前

KALI_MC

谢谢你的细致分析，受益匪浅！

2025-12-13 23:13

つきよみ

你的分享对大家帮助很大，非常感谢！

2025-12-10 17:53

Zyano

你的分享对大家帮助很大，非常感谢！

2025-12-6 09:07

wx_月亮经过

你的分享对大家帮助很大，非常感谢！

2025-12-2 18:23

Territory

为你点赞！

2025-12-1 10:16

starkin

感谢你的积极参与，期待更多精彩内容！

2025-11-29 02:28

罗小墨

为你点赞！

2025-11-25 10:30

mb_wosmqadc

你的分享对大家帮助很大，非常感谢！

2025-11-25 08:49

csysfiles

你的帖子非常有用，感谢分享！

2025-11-24 13:40

蜉蝣129

感谢你的积极参与，期待更多精彩内容！

2025-11-21 15:34

mb_cntjvjao

为你点赞！

2025-11-19 21:09

mb_mfvrtmza

为你点赞！

2025-11-16 13:03

systembug

感谢你分享这么好的资源！

2025-11-14 19:06

萌新一枚

这个讨论对我很有帮助，谢谢！

2025-11-14 12:11

maxwudi

谢谢你的细致分析，受益匪浅！

2025-11-13 21:39

榆一

感谢你的积极参与，期待更多精彩内容！

2025-11-13 18:45

mb_cdricfjt

期待更多优质内容的分享，论坛有你更精彩！

2025-11-10 17:42

z许

感谢你分享这么好的资源！

2025-11-1 11:46

btmanbtman

你的分享对大家帮助很大，非常感谢！

2025-10-31 14:24

git_24261j1ans

你的帖子非常有用，感谢分享！

2025-10-27 02:15

kangwei666jj

你的帖子非常有用，感谢分享！

2025-10-23 15:54

AsuraCoder

你的分享对大家帮助很大，非常感谢！

2025-10-23 01:24

微笑:)

你的分享对大家帮助很大，非常感谢！

2025-10-21 16:50

khfrefhewhfl

你的帖子非常有用，感谢分享！

2025-10-20 22:21

Lnju

谢谢你的细致分析，受益匪浅！

2025-10-20 12:42

git_20420Yusukedao-0610

谢谢你的细致分析，受益匪浅！

2025-10-16 21:33

git_91266mke10086

为你点赞！

2025-10-15 21:02

mb_jumzvmxy

你的分享对大家帮助很大，非常感谢！

2025-10-11 14:03

kaokaoyou

这个讨论对我很有帮助，谢谢！

2025-10-9 12:46

wx_托马斯大炮

期待更多优质内容的分享，论坛有你更精彩！

2025-10-9 08:52

cccwwdd

这个讨论对我很有帮助，谢谢！

2025-10-9 08:22

ldljlzw

感谢你分享这么好的资源！

2025-10-9 07:29

Artorlas

感谢你的积极参与，期待更多精彩内容！

2025-10-7 11:06

ThanatosKer

感谢你的贡献，论坛因你而更加精彩！

2025-10-6 22:05

nulles

期待更多优质内容的分享，论坛有你更精彩！

2025-10-2 22:18

Carine Hong

为你点赞！

2025-10-1 21:23

wx_放心我很好

为你点赞！

2025-9-29 11:11

git_96499ch3va

期待更多优质内容的分享，论坛有你更精彩！

2025-9-26 23:50

mb_xzxxmnub

为你点赞！

2025-9-25 17:41

dx苹果的心愿

你的分享对大家帮助很大，非常感谢！

2025-9-24 19:51

PanLi77

非常支持你的观点！

2025-9-24 09:10

学海无涯~

期待更多优质内容的分享，论坛有你更精彩！

2025-9-23 23:43

git_46183EBalloon

感谢你的贡献，论坛因你而更加精彩！

2025-9-22 07:37

MochaCo

非常支持你的观点！

2025-9-21 17:00

loqich

谢谢你的细致分析，受益匪浅！

2025-9-18 22:09

mb_oaulfthw

你的帖子非常有用，感谢分享！

2025-9-17 02:21

我的小拇指啊

期待更多优质内容的分享，论坛有你更精彩！

2025-9-16 23:47

穗之影

非常支持你的观点！

2025-9-16 14:28

给我快乐

非常支持你的观点！

2025-9-6 11:10

猪头你好

期待更多优质内容的分享，论坛有你更精彩！

2025-9-5 16:49

mb_ogswdszr

你的分享对大家帮助很大，非常感谢！

2025-9-3 07:30

天月

你的分享对大家帮助很大，非常感谢！

2025-9-3 00:34

lysha

非常支持你的观点！

2025-8-31 23:24

clestor

感谢你的积极参与，期待更多精彩内容！

2025-8-31 22:10

mb_clctcmsh

感谢你分享这么好的资源！

2025-8-29 23:17

GGBON我男神

你的分享对大家帮助很大，非常感谢！

2025-8-28 23:42

MarsW

感谢你的积极参与，期待更多精彩内容！

2025-8-27 21:49

秋雨02

你的帖子非常有用，感谢分享！

2025-8-27 02:09

雪梨不是雪莉

感谢你的积极参与，期待更多精彩内容！

2025-8-26 11:18

FANTASYING

感谢你的贡献，论坛因你而更加精彩！

2025-8-25 17:10

qdjytony

非常支持你的观点！

2025-8-25 13:40

adslpo

这个讨论对我很有帮助，谢谢！

2025-8-25 09:57

水朝夕

这个讨论对我很有帮助，谢谢！

2025-8-24 19:46

周旋久

感谢你的积极参与，期待更多精彩内容！

2025-8-24 14:56

milko

非常支持你的观点！

2025-8-24 13:07

phperl

感谢你的积极参与，期待更多精彩内容！

2025-8-24 12:46

mb_soqpzdaf

谢谢你的细致分析，受益匪浅！

2025-8-24 12:27

AlwaysBetter

你的分享对大家帮助很大，非常感谢！

2025-8-24 11:58

mb_qqboayfv

这个讨论对我很有帮助，谢谢！

2025-8-24 11:41

只会逆一点点

你的帖子非常有用，感谢分享！

2025-8-23 04:38

mb_gqhzzubh

非常支持你的观点！

2025-8-23 00:25

xxxark

这个讨论对我很有帮助，谢谢！

2025-8-22 20:14

咖啡_741298

非常支持你的观点！

2025-8-22 19:44

mb_azbpkmqj

为你点赞！

2025-8-22 18:37

酒肉和尚

感谢你的积极参与，期待更多精彩内容！

2025-8-22 17:46

mb_dtidoewd

为你点赞！

2025-8-22 13:50

AL10000

感谢你的贡献，论坛因你而更加精彩！

2025-8-22 13:36

木志本柯

谢谢你的细致分析，受益匪浅！

2025-8-22 12:52

煜凡

你的帖子非常有用，感谢分享！

2025-8-22 10:17

mb_yrkendlt

非常支持你的观点！

2025-8-21 19:43

mb_vialsszo

为你点赞！

2025-8-21 19:31

mb_naisdqth

为你点赞！

2025-8-20 13:37

git_41985Jerrey-liang

非常支持你的观点！

2025-8-19 21:47

Istaroth

感谢你分享这么好的资源！

2025-8-19 19:44

mb_caanvpdb

这个讨论对我很有帮助，谢谢！

2025-8-19 17:20

Asbeel

非常支持你的观点！

2025-8-19 16:40

mb_lqkpwjps

谢谢你的细致分析，受益匪浅！

2025-8-19 13:49

最新回复 (54) 1 2 3 ▶
刻骨柔情雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	刻骨柔情 2 楼学习学习正好要用的 2025-8-22 11:53 0
HanHHHHH 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	HanHHHHH 3 楼学习 2025-8-22 13:01 0
逆向爱好者雪币： 2743 活跃值： (6243) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 226 粉丝 24 关注私信	逆向爱好者 4 楼牛逼牛逼牛逼 2025-8-22 13:10 0
PeterZheng 雪币： 1110 活跃值： (2685) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	PeterZheng 5 楼学习学习 2025-8-22 15:27 0
git_27405Danya22891 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	git_27405Danya22891 6 楼 круто 2025-8-22 15:59 0
Roger 雪币： 4556 活跃值： (4134) 能力值： ( LV8，RANK：147 ) 在线值：发帖 6 回帖 107 粉丝 118 关注私信	Roger 1 7 楼 mark 2025-8-22 16:10 0
mb_cuitmohb 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	mb_cuitmohb 8 楼学习学习 2025-8-22 19:21 0
mb_urzqsoer 雪币： 208 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 51 粉丝 0 关注私信	mb_urzqsoer 9 楼 666666 2025-8-23 18:19 0
mb_niimcqnj 雪币： 253 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	mb_niimcqnj 10 楼学习学习 2025-8-23 22:48 0
hungnguyen 雪币： 188 活跃值： (1601) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 85 粉丝 0 关注私信	hungnguyen 11 楼学习学习 2025-8-24 11:21 0
mb_ndttieme 雪币： 477 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	mb_ndttieme 12 楼为你点赞！ 2025-8-24 12:07 0
mb_hmukhnsz 雪币： 33 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_hmukhnsz 13 楼 111111111111111 2025-8-24 13:42 0
javaphy 雪币： 200 活跃值： (579) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 1 关注私信	javaphy 14 楼为你点赞！ 2025-8-24 20:52 0
爱别离丶雪币： 11 活跃值： (428) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	爱别离丶 15 楼 666666666666666666666 2025-8-28 23:33 0
zylyy 雪币： 144 活跃值： (1888) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 437 粉丝 3 关注私信	zylyy 16 楼 66666666666 2025-8-28 23:37 0
NVH 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	NVH 17 楼 66666666 2025-8-31 21:18 0
mb_tdzonqfh 雪币： 209 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	mb_tdzonqfh 18 楼厉害 2025-9-16 13:54 0
mb_sedplcgt 雪币： 330 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mb_sedplcgt 19 楼 111 2025-9-16 23:06 0
mb_mfvjihjx 雪币： 19 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	mb_mfvjihjx 20 楼你的帖子非常有用，感谢分享！ 2025-9-17 02:43 0
mb_bwtnebej 雪币： 18 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_bwtnebej 21 楼瞧一瞧看一看 2025-9-20 11:04 0
mb_owdolnob 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_owdolnob 22 楼瞧一瞧看一看 2025-9-21 15:11 0
mb_soqpzdaf 雪币： 216 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_soqpzdaf 23 楼请问big 是什么？ 2025-9-23 21:28 0
YYF1337 雪币： 146 活跃值： (185) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 3 关注私信	YYF1337 24 楼 mb_soqpzdaf 请问big 是什么？ big是当eprocess大于0x80000000时经过windows处理后存储在MMPFN中的最高位会被抹掉，在解密时需要还原回来文章里有说明的 2025-9-24 17:40 0
mb_lnefkhri 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_lnefkhri 25 楼 mark 2025-10-2 21:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

YYF1337

发帖

回帖

RANK

关注

私信

他的文章

[原创]Win11 24H2 关于MmPfnDatabase变动的浅逆 4003

关于我们

联系我们

企业服务

看雪公众号

最新回复 (54) 1 2 3 ▶
刻骨柔情雪币： 8 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	刻骨柔情 2 楼学习学习正好要用的 2025-8-22 11:53 0
HanHHHHH 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	HanHHHHH 3 楼学习 2025-8-22 13:01 0
逆向爱好者雪币： 2743 活跃值： (6243) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 226 粉丝 24 关注私信	逆向爱好者 4 楼牛逼牛逼牛逼 2025-8-22 13:10 0
PeterZheng 雪币： 1110 活跃值： (2685) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 67 粉丝 0 关注私信	PeterZheng 5 楼学习学习 2025-8-22 15:27 0
git_27405Danya22891 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	git_27405Danya22891 6 楼 круто 2025-8-22 15:59 0
Roger 雪币： 4556 活跃值： (4134) 能力值： ( LV8，RANK：147 ) 在线值：发帖 6 回帖 107 粉丝 118 关注私信	Roger 1 7 楼 mark 2025-8-22 16:10 0
mb_cuitmohb 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	mb_cuitmohb 8 楼学习学习 2025-8-22 19:21 0
mb_urzqsoer 雪币： 208 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 51 粉丝 0 关注私信	mb_urzqsoer 9 楼 666666 2025-8-23 18:19 0
mb_niimcqnj 雪币： 253 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	mb_niimcqnj 10 楼学习学习 2025-8-23 22:48 0
hungnguyen 雪币： 188 活跃值： (1601) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 85 粉丝 0 关注私信	hungnguyen 11 楼学习学习 2025-8-24 11:21 0
mb_ndttieme 雪币： 477 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	mb_ndttieme 12 楼为你点赞！ 2025-8-24 12:07 0
mb_hmukhnsz 雪币： 33 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_hmukhnsz 13 楼 111111111111111 2025-8-24 13:42 0
javaphy 雪币： 200 活跃值： (579) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 1 关注私信	javaphy 14 楼为你点赞！ 2025-8-24 20:52 0
爱别离丶雪币： 11 活跃值： (428) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	爱别离丶 15 楼 666666666666666666666 2025-8-28 23:33 0
zylyy 雪币： 144 活跃值： (1888) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 437 粉丝 3 关注私信	zylyy 16 楼 66666666666 2025-8-28 23:37 0
NVH 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	NVH 17 楼 66666666 2025-8-31 21:18 0
mb_tdzonqfh 雪币： 209 活跃值： (704) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 12 粉丝 0 关注私信	mb_tdzonqfh 18 楼厉害 2025-9-16 13:54 0
mb_sedplcgt 雪币： 330 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mb_sedplcgt 19 楼 111 2025-9-16 23:06 0
mb_mfvjihjx 雪币： 19 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	mb_mfvjihjx 20 楼你的帖子非常有用，感谢分享！ 2025-9-17 02:43 0
mb_bwtnebej 雪币： 18 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	mb_bwtnebej 21 楼瞧一瞧看一看 2025-9-20 11:04 0
mb_owdolnob 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_owdolnob 22 楼瞧一瞧看一看 2025-9-21 15:11 0
mb_soqpzdaf 雪币： 216 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_soqpzdaf 23 楼请问big 是什么？ 2025-9-23 21:28 0
YYF1337 雪币： 146 活跃值： (185) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 3 关注私信	YYF1337 24 楼 mb_soqpzdaf 请问big 是什么？ big是当eprocess大于0x80000000时经过windows处理后存储在MMPFN中的最高位会被抹掉，在解密时需要还原回来文章里有说明的 2025-9-24 17:40 0
mb_lnefkhri 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_lnefkhri 25 楼 mark 2025-10-2 21:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复