[求助]为什么Win32k.sys映射的代码区内存不可读-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2 楼被换页了吧 · 2009-6-22 14:09 0
margen 雪币： 254 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	margen 1 3 楼 PASSIVE_LEVEL的代码，即使缺页，也还是能读取的 2009-6-22 14:18 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 4 楼 win32k.sys位于session leader(csrss.exe)的session空间中,其他进程不可见 2009-6-22 14:25 0
margen 雪币： 254 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	margen 1 5 楼呵呵，本人菜鸟，还在啃书本的阶段。早前看《Windows Internals》的一段话，对系统空间的几句说明 “系统映射的视图：用于映射Win32k.sys，以及系统使用的内核模式图形驱动程序”。此处的系统映射的视图是指系统空间的一部分，有别于会话空间。所以我以为Win32k.sys的映像位于对所有进程都可见的“系统映射的视图”部分。但在对x86会话空间的说明中，又看到会话空间中还有一部分的作用是“Win32k.sys、视频驱动程序和任何重新定位的NT4打印机驱动程序”。“系统映射的视图”，和“会话空间”都提到了Win32k.sys，它们有啥区别没？ 2009-6-23 00:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2 楼被换页了吧 · 2009-6-22 14:09 0
margen 雪币： 254 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	margen 1 3 楼 PASSIVE_LEVEL的代码，即使缺页，也还是能读取的 2009-6-22 14:18 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 4 楼 win32k.sys位于session leader(csrss.exe)的session空间中,其他进程不可见 2009-6-22 14:25 0
margen 雪币： 254 活跃值： (30) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 22 粉丝 0 关注私信	margen 1 5 楼呵呵，本人菜鸟，还在啃书本的阶段。早前看《Windows Internals》的一段话，对系统空间的几句说明 “系统映射的视图：用于映射Win32k.sys，以及系统使用的内核模式图形驱动程序”。此处的系统映射的视图是指系统空间的一部分，有别于会话空间。所以我以为Win32k.sys的映像位于对所有进程都可见的“系统映射的视图”部分。但在对x86会话空间的说明中，又看到会话空间中还有一部分的作用是“Win32k.sys、视频驱动程序和任何重新定位的NT4打印机驱动程序”。“系统映射的视图”，和“会话空间”都提到了Win32k.sys，它们有啥区别没？ 2009-6-23 00:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复