[讨论]"SSDT Hook的妙用－对抗ring0 inline hook"之疑问-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 2 楼难道改了WP后所有段都可以随意"写"了吗正确在用Windbg调试内核时如何查看任意一个段的描述符? 那个是PAE PDE的部分资料自己找吧 2008-3-17 20:21 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼 LS的猪哇牛已经解释得很清楚了~~~~ PAE PDE是 "操作系统" 的基本知识,网上资料很多~ 也可用 MDL 2008-3-17 21:56 0
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	莫程桂NP 1 4 楼感谢两位哥哥. 我觉得太不可思仪了,改变WP就改变了整个世界,感觉描述符的属性低4位成了摆设. 如果是386的CR0的WP根本就是保留,那该怎么去内存保护呢? 2008-3-17 23:38 0
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	莫程桂NP 1 5 楼所有吗?包括0段0偏移吗?(有点牛角尖),乱"写"当然系统会崩溃,只是写入是可以实现的吧. 2008-3-17 23:45 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 6 楼缺页应该会中断吧，写存在的、被保护的页面时WP可以无视 2008-3-18 00:06 0
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	莫程桂NP 1 7 楼给你弄糊涂了,按你的意思SSDT没被保护起来? 2008-3-18 00:10 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 8 楼当你改了WP以后系统的写保护就关闭了 SSDT默认所在的内存标记为不可写入关闭WP就相当于取消系统的写保护功能当然是全内存生效如果你直接把SSDT所在的PAE改改那么就是这里生效其他地方还是保护汗 0段0偏移是个无效内存你可以写不过写了直接BSOD WP是写保护的意思,就是说这个内存只读明白? 缺页应该会中断吧，写存在的、被保护的页面时WP可以无视 forgot的意思是说写无效内存就是缺页 fault page 肯定会bsod 只要被写页面存在在内存就可以写了简单点说关了WP以后你可以写任何内存当然必须是有效的(至少关WP之前可以读取) 如果是386的CR0的WP根本就是保留,那该怎么去内存保护呢也许386下面没有这个保护或者在其他地方? 偶不知道大牛指点把 2008-3-18 07:58 0
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	莫程桂NP 1 9 楼结贴,谢谢各位 2008-3-18 15:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 2 楼难道改了WP后所有段都可以随意"写"了吗正确在用Windbg调试内核时如何查看任意一个段的描述符? 那个是PAE PDE的部分资料自己找吧 2008-3-17 20:21 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼 LS的猪哇牛已经解释得很清楚了~~~~ PAE PDE是 "操作系统" 的基本知识,网上资料很多~ 也可用 MDL 2008-3-17 21:56 0
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	莫程桂NP 1 4 楼感谢两位哥哥. 我觉得太不可思仪了,改变WP就改变了整个世界,感觉描述符的属性低4位成了摆设. 如果是386的CR0的WP根本就是保留,那该怎么去内存保护呢? 2008-3-17 23:38 0
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	莫程桂NP 1 5 楼所有吗?包括0段0偏移吗?(有点牛角尖),乱"写"当然系统会崩溃,只是写入是可以实现的吧. 2008-3-17 23:45 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 6 楼缺页应该会中断吧，写存在的、被保护的页面时WP可以无视 2008-3-18 00:06 0
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	莫程桂NP 1 7 楼给你弄糊涂了,按你的意思SSDT没被保护起来? 2008-3-18 00:10 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 8 楼当你改了WP以后系统的写保护就关闭了 SSDT默认所在的内存标记为不可写入关闭WP就相当于取消系统的写保护功能当然是全内存生效如果你直接把SSDT所在的PAE改改那么就是这里生效其他地方还是保护汗 0段0偏移是个无效内存你可以写不过写了直接BSOD WP是写保护的意思,就是说这个内存只读明白? 缺页应该会中断吧，写存在的、被保护的页面时WP可以无视 forgot的意思是说写无效内存就是缺页 fault page 肯定会bsod 只要被写页面存在在内存就可以写了简单点说关了WP以后你可以写任何内存当然必须是有效的(至少关WP之前可以读取) 如果是386的CR0的WP根本就是保留,那该怎么去内存保护呢也许386下面没有这个保护或者在其他地方? 偶不知道大牛指点把 2008-3-18 07:58 0
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 86 粉丝 0 关注私信	莫程桂NP 1 9 楼结贴,谢谢各位 2008-3-18 15:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复