[求助]内存地址问题--看过SDTrestore的指教一下-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 0 关注私信	安摧 2 2 楼想帮忙，可惜不是所云给个 reference 的 link 2008-12-27 22:12 0
jjgogo 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 0 关注私信	jjgogo 3 楼这是sudami的学习注释，正在学习，现在对其中一个部分的疑惑，其实完全是一个独立的问题，跟原来的代码没有什么关系的 http://bbs.pediy.com/showthread.php?t=58157&highlight=SDTrestore 2008-12-27 22:36 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 4 楼内核态对象，物理地址和虚拟地址都是这样的转换关系呢？不是。。参考 MmGetPhysicalAddress from ntddk.h PHYSICAL_ADDRESS MmGetPhysicalAddress(void BaseAddress); --- PHYSICAL_ADDRESS是quad-word (64 bits)的。原本打算在文章开头分析一下汇编代码，但是它太长了。地址转化也很普通，我只想快点进行这个题目。 quad-word的低位被传递给eax，高位传递给edx。要转化虚拟地址到物理地址，可以有两种办法： case 0x80000000 <= BaseAddress < 0xA0000000: 我们唯一要做的只是提供一个0x1FFFF000掩码虚拟地址 * case BaseAddress < 0x80000000 && BaseAddress >= 0xA0000000 这种办法对于我们来说有点问题，因为我们并没有办法在这个范围转化地址，因为我们需要读cr3记录或者运行非ring3可调用的汇编指令。需要更多信息，可参考Intel Software Developer's Manual Volume 3 (see [5]). EliCZ告诉我，以他的经验可以猜测一个物理地址偏移掩码，保留部分的索引。掩码：0xFFFF000 这是一个轻量级版本的MmGetPhysicalAddress() PHYSICAL_MEMORY MyGetPhysicalAddress(void *BaseAddress) { if (BaseAddress < 0x80000000 \|\| BaseAddress >= 0xA0000000) { return(BaseAddress & 0xFFFF000); } return(BaseAddress & 0x1FFFF000); } 对于限定地址边界为[0x80000000, 0xA0000000]主要是这情况不能更成功地猜测正确。这就是为什么如果你想更准确最好还是调用实际上的MmGetPhysicalAddress()。我们可以在一些章节中看到怎么做的。简单来说一部分地址是可以直接猜测到物理地址的如果还不明白去读读Playing with Windows /dev/(k)mem 2008-12-28 11:57 0
jjgogo 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 0 关注私信	jjgogo 5 楼多谢zhuwg大侠的提示，我先看看Playing with Windows /dev/(k)mem~~~ 2008-12-28 19:12 0
jjgogo 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 0 关注私信	jjgogo 6 楼 if (BaseAddress < 0x80000000 \|\| BaseAddress >= 0xA0000000) { return(BaseAddress & 0xFFFF000); } return(BaseAddress & 0x1FFFF000); --------------- & 0xFFFF000 1FFFF000 为什么与一下他们就是物理地址了呢？还是不懂啊 2008-12-28 23:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
安摧雪币： 247 活跃值： (10) 能力值： ( LV7，RANK：100 ) 在线值：发帖 22 回帖 345 粉丝 0 关注私信	安摧 2 2 楼想帮忙，可惜不是所云给个 reference 的 link 2008-12-27 22:12 0
jjgogo 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 0 关注私信	jjgogo 3 楼这是sudami的学习注释，正在学习，现在对其中一个部分的疑惑，其实完全是一个独立的问题，跟原来的代码没有什么关系的 http://bbs.pediy.com/showthread.php?t=58157&highlight=SDTrestore 2008-12-27 22:36 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 4 楼内核态对象，物理地址和虚拟地址都是这样的转换关系呢？不是。。参考 MmGetPhysicalAddress from ntddk.h PHYSICAL_ADDRESS MmGetPhysicalAddress(void BaseAddress); --- PHYSICAL_ADDRESS是quad-word (64 bits)的。原本打算在文章开头分析一下汇编代码，但是它太长了。地址转化也很普通，我只想快点进行这个题目。 quad-word的低位被传递给eax，高位传递给edx。要转化虚拟地址到物理地址，可以有两种办法： case 0x80000000 <= BaseAddress < 0xA0000000: 我们唯一要做的只是提供一个0x1FFFF000掩码虚拟地址 * case BaseAddress < 0x80000000 && BaseAddress >= 0xA0000000 这种办法对于我们来说有点问题，因为我们并没有办法在这个范围转化地址，因为我们需要读cr3记录或者运行非ring3可调用的汇编指令。需要更多信息，可参考Intel Software Developer's Manual Volume 3 (see [5]). EliCZ告诉我，以他的经验可以猜测一个物理地址偏移掩码，保留部分的索引。掩码：0xFFFF000 这是一个轻量级版本的MmGetPhysicalAddress() PHYSICAL_MEMORY MyGetPhysicalAddress(void *BaseAddress) { if (BaseAddress < 0x80000000 \|\| BaseAddress >= 0xA0000000) { return(BaseAddress & 0xFFFF000); } return(BaseAddress & 0x1FFFF000); } 对于限定地址边界为[0x80000000, 0xA0000000]主要是这情况不能更成功地猜测正确。这就是为什么如果你想更准确最好还是调用实际上的MmGetPhysicalAddress()。我们可以在一些章节中看到怎么做的。简单来说一部分地址是可以直接猜测到物理地址的如果还不明白去读读Playing with Windows /dev/(k)mem 2008-12-28 11:57 0
jjgogo 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 0 关注私信	jjgogo 5 楼多谢zhuwg大侠的提示，我先看看Playing with Windows /dev/(k)mem~~~ 2008-12-28 19:12 0
jjgogo 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 0 关注私信	jjgogo 6 楼 if (BaseAddress < 0x80000000 \|\| BaseAddress >= 0xA0000000) { return(BaseAddress & 0xFFFF000); } return(BaseAddress & 0x1FFFF000); --------------- & 0xFFFF000 1FFFF000 为什么与一下他们就是物理地址了呢？还是不懂啊 2008-12-28 23:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复