[求助]请教ring0下如何读/写ring3内存-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 2 楼 KeAttachProcess切过去，直接读你要的地址就可以了。 2008-7-24 19:45 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 3 楼我看了一些文章，貌似KeAttachProcess();之后相应进程里的数据可直接读取了。比如：(ULONG )0x0401000 = 0xEBFFFFFF; 但： KeAttachProcess(); KeDetachProcess(); 两个函数的地址如何获取？不想再开新贴了，望高手赐教！ 2008-7-24 20:00 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 4 楼声明一下就可以用料 2008-7-24 20:30 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 5 楼谢谢大家！已测试成功！另外还有个小问题，就是KeAttachProcess();之后能否直接对ring3函数进行调用？如： ////////////////////in ring 3///////////////////// 0x401000: push ebp mov ebp,esp xxxxxxxxxxx pop ebp ret /////////////////////////////////////////////////// ////////////////////in ring 0///////////////////// KeAttachProcess(); call 0x401000 /////////////////////////////////////////////////// 2008-7-24 20:53 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 6 楼修改PTE。然后patch掉即可. ---------------------------------- R0下的不能调用R3下的任何函数. 2008-7-24 22:02 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 7 楼只要ring3的函数不会搞出bsod就可以调 2008-7-25 11:20 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 8 楼那只不过是R0 CALL R3 方法多种多样... 2008-7-25 11:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 2 楼 KeAttachProcess切过去，直接读你要的地址就可以了。 2008-7-24 19:45 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 3 楼我看了一些文章，貌似KeAttachProcess();之后相应进程里的数据可直接读取了。比如：(ULONG )0x0401000 = 0xEBFFFFFF; 但： KeAttachProcess(); KeDetachProcess(); 两个函数的地址如何获取？不想再开新贴了，望高手赐教！ 2008-7-24 20:00 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 4 楼声明一下就可以用料 2008-7-24 20:30 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 5 楼谢谢大家！已测试成功！另外还有个小问题，就是KeAttachProcess();之后能否直接对ring3函数进行调用？如： ////////////////////in ring 3///////////////////// 0x401000: push ebp mov ebp,esp xxxxxxxxxxx pop ebp ret /////////////////////////////////////////////////// ////////////////////in ring 0///////////////////// KeAttachProcess(); call 0x401000 /////////////////////////////////////////////////// 2008-7-24 20:53 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 6 楼修改PTE。然后patch掉即可. ---------------------------------- R0下的不能调用R3下的任何函数. 2008-7-24 22:02 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 7 楼只要ring3的函数不会搞出bsod就可以调 2008-7-25 11:20 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 8 楼那只不过是R0 CALL R3 方法多种多样... 2008-7-25 11:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复