-
-
[求助]怎么取得本sys的内存范围?
-
发表于:
2009-6-1 14:21
5091
-
上次在各位朋友的帮助下,已经用IDT Hook的方法,修改了0xE的中断入口,以避免缺页蓝屏。具体实现方法是如果保存非法访问地址的CR2寄存器地址不小于0x80000000,那么将其修改为0。
但是测试中发现开着SOFTICE的情况下,有的时候确实会出现不小于0x80000000的情况,而且如果修改为0就会蓝屏。
经过测试,发现发生中断时,esp会减小0x10,而且[esp+4]保存的是出错地址,所以我想通过判断出异常时当时的eip是否在本sys地址范围内之类的方法,来决定是否将CR2置0。
那么这样的方法可行么?中断时自动压入栈的结构到底是哪个?SOFTICE之类的,又是怎么区分这个中断是否是本sys造成的?
[课程]FART 脱壳王!加量不加价!FART作者讲授!