[求助]在Windows下，如果给定一个内存的物理地址，怎样在指令中直接使用这个地址呢？是不是要先转化成线性地址后才能在指令中使用？？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
billh 雪币： 260 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	billh 1 2 楼 CreateFile Device ...... 2008-11-28 19:19 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 3 楼这种需求真是没见过，知道物理地址却不知道虚拟地址。难道是DMA缓冲池？我只知道原理上可以将\Device\PhysicalMemory对象映射到进程的地址空间中，然后就可以访问了。不过只有Administrator对有“读”权限，SYSTEM用户具有完全访问权限而普通用户则没有访问该对象的权限。原理上这样，不过我没有实现过，如果说错了，请指教。 2008-11-29 00:27 0
lineage 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	lineage 4 楼你说的线性地址是指带下划线的重定位地址么？ 2008-11-29 00:29 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 5 楼刚才大致查了下，Windows Server 2003 SP1以后\Device\PhysicalMemory对象已经不允许从用户态访问了，那么Windows XP大概在SP2后也不允许了。 2008-11-29 00:32 0
cooloong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	cooloong 6 楼 hookin hwd dll=lodbibary("xxx.dll"); PROC function=getProAddress(dll,"fuction"); typedef void (WINAPI *FUNCTION)(); FUNCTION f=(FUNCTION )function; f(); or: FUNCTION f=(FUNCTION )((PROC)imagebase+offsetof("xxx.dll","fuction")); f(); or: FUNCTION f=(FUNCTION )((PROC)00405000); f(); 2008-12-2 09:38 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 7 楼 [QUOTE=随风流浪;542646]谁能解释一下啊！如果物理地址是XXXX，那么MOV EAX，[XXXX]应该是错误的吧！！！[/QUOTE] 在分页保护模式下是错的 2008-12-3 01:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
billh 雪币： 260 活跃值： (11) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 33 粉丝 0 关注私信	billh 1 2 楼 CreateFile Device ...... 2008-11-28 19:19 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 3 楼这种需求真是没见过，知道物理地址却不知道虚拟地址。难道是DMA缓冲池？我只知道原理上可以将\Device\PhysicalMemory对象映射到进程的地址空间中，然后就可以访问了。不过只有Administrator对有“读”权限，SYSTEM用户具有完全访问权限而普通用户则没有访问该对象的权限。原理上这样，不过我没有实现过，如果说错了，请指教。 2008-11-29 00:27 0
lineage 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	lineage 4 楼你说的线性地址是指带下划线的重定位地址么？ 2008-11-29 00:29 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 5 楼刚才大致查了下，Windows Server 2003 SP1以后\Device\PhysicalMemory对象已经不允许从用户态访问了，那么Windows XP大概在SP2后也不允许了。 2008-11-29 00:32 0
cooloong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	cooloong 6 楼 hookin hwd dll=lodbibary("xxx.dll"); PROC function=getProAddress(dll,"fuction"); typedef void (WINAPI *FUNCTION)(); FUNCTION f=(FUNCTION )function; f(); or: FUNCTION f=(FUNCTION )((PROC)imagebase+offsetof("xxx.dll","fuction")); f(); or: FUNCTION f=(FUNCTION )((PROC)00405000); f(); 2008-12-2 09:38 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 7 楼 [QUOTE=随风流浪;542646]谁能解释一下啊！如果物理地址是XXXX，那么MOV EAX，[XXXX]应该是错误的吧！！！[/QUOTE] 在分页保护模式下是错的 2008-12-3 01:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复