[讨论]"SSDT Hook的妙用－对抗ring0 inline hook"之疑问-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 37 回帖 731 粉丝 6 关注私信	zhuwg 11 2008-3-17 20:21 2 楼 0 难道改了WP后所有段都可以随意"写"了吗正确在用Windbg调试内核时如何查看任意一个段的描述符? 那个是PAE PDE的部分资料自己找吧
sudami 雪币： 709 活跃值： (2260) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 69 回帖 1584 粉丝 61 关注私信	sudami 25 2008-3-17 21:56 3 楼 0 LS的猪哇牛已经解释得很清楚了~~~~ PAE PDE是 "操作系统" 的基本知识,网上资料很多~ 也可用 MDL
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 84 粉丝 0 关注私信	莫程桂NP 1 2008-3-17 23:38 4 楼 0 感谢两位哥哥. 我觉得太不可思仪了,改变WP就改变了整个世界,感觉描述符的属性低4位成了摆设. 如果是386的CR0的WP根本就是保留,那该怎么去内存保护呢?
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 84 粉丝 0 关注私信	莫程桂NP 1 2008-3-17 23:45 5 楼 0 所有吗?包括0段0偏移吗?(有点牛角尖),乱"写"当然系统会崩溃,只是写入是可以实现的吧.
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2008-3-18 00:06 6 楼 0 缺页应该会中断吧，写存在的、被保护的页面时WP可以无视
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 84 粉丝 0 关注私信	莫程桂NP 1 2008-3-18 00:10 7 楼 0 给你弄糊涂了,按你的意思SSDT没被保护起来?
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 37 回帖 731 粉丝 6 关注私信	zhuwg 11 2008-3-18 07:58 8 楼 0 当你改了WP以后系统的写保护就关闭了 SSDT默认所在的内存标记为不可写入关闭WP就相当于取消系统的写保护功能当然是全内存生效如果你直接把SSDT所在的PAE改改那么就是这里生效其他地方还是保护汗 0段0偏移是个无效内存你可以写不过写了直接BSOD WP是写保护的意思,就是说这个内存只读明白? 缺页应该会中断吧，写存在的、被保护的页面时WP可以无视 forgot的意思是说写无效内存就是缺页 fault page 肯定会bsod 只要被写页面存在在内存就可以写了简单点说关了WP以后你可以写任何内存当然必须是有效的(至少关WP之前可以读取) 如果是386的CR0的WP根本就是保留,那该怎么去内存保护呢也许386下面没有这个保护或者在其他地方? 偶不知道大牛指点把
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 84 粉丝 0 关注私信	莫程桂NP 1 2008-3-18 15:12 9 楼 0 结贴,谢谢各位
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (8)
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 37 回帖 731 粉丝 6 关注私信	zhuwg 11 2008-3-17 20:21 2 楼 0 难道改了WP后所有段都可以随意"写"了吗正确在用Windbg调试内核时如何查看任意一个段的描述符? 那个是PAE PDE的部分资料自己找吧
sudami 雪币： 709 活跃值： (2260) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 69 回帖 1584 粉丝 61 关注私信	sudami 25 2008-3-17 21:56 3 楼 0 LS的猪哇牛已经解释得很清楚了~~~~ PAE PDE是 "操作系统" 的基本知识,网上资料很多~ 也可用 MDL
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 84 粉丝 0 关注私信	莫程桂NP 1 2008-3-17 23:38 4 楼 0 感谢两位哥哥. 我觉得太不可思仪了,改变WP就改变了整个世界,感觉描述符的属性低4位成了摆设. 如果是386的CR0的WP根本就是保留,那该怎么去内存保护呢?
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 84 粉丝 0 关注私信	莫程桂NP 1 2008-3-17 23:45 5 楼 0 所有吗?包括0段0偏移吗?(有点牛角尖),乱"写"当然系统会崩溃,只是写入是可以实现的吧.
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2008-3-18 00:06 6 楼 0 缺页应该会中断吧，写存在的、被保护的页面时WP可以无视
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 84 粉丝 0 关注私信	莫程桂NP 1 2008-3-18 00:10 7 楼 0 给你弄糊涂了,按你的意思SSDT没被保护起来?
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 37 回帖 731 粉丝 6 关注私信	zhuwg 11 2008-3-18 07:58 8 楼 0 当你改了WP以后系统的写保护就关闭了 SSDT默认所在的内存标记为不可写入关闭WP就相当于取消系统的写保护功能当然是全内存生效如果你直接把SSDT所在的PAE改改那么就是这里生效其他地方还是保护汗 0段0偏移是个无效内存你可以写不过写了直接BSOD WP是写保护的意思,就是说这个内存只读明白? 缺页应该会中断吧，写存在的、被保护的页面时WP可以无视 forgot的意思是说写无效内存就是缺页 fault page 肯定会bsod 只要被写页面存在在内存就可以写了简单点说关了WP以后你可以写任何内存当然必须是有效的(至少关WP之前可以读取) 如果是386的CR0的WP根本就是保留,那该怎么去内存保护呢也许386下面没有这个保护或者在其他地方? 偶不知道大牛指点把
莫程桂NP 雪币： 213 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 84 粉丝 0 关注私信	莫程桂NP 1 2008-3-18 15:12 9 楼 0 结贴,谢谢各位
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复