[求助]关于内存清0-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]关于内存清0

发表于: 2009-8-5 16:00 4165

[求助]关于内存清0

Fypher

2009-8-5 16:00

4165

//蓝屏版内存清0
VOID ZeroIt(PEPROCESS pProcess){
        ULONG start;
        KAPC_STATE kapc;
        KeStackAttachProcess(pProcess,&kapc);
        for(start=0x00010000;start<0x60000000;start+=0x1000){
                __try{
                        ProbeForWrite((PVOID)start,0x1000,4);
                        RtlZeroMemory((PVOID)start,0x1000);
                }__except(1){
                        continue;
                }        
        }
        KeUnstackDetachProcess (&kapc);
}

//不蓝屏版内存清0
VOID ZeroIt(PEPROCESS pProcess){
        ULONG start,tmp;
        KAPC_STATE kapc;
        PHYSICAL_ADDRESS physicalAddr;

        KeStackAttachProcess(pProcess,&kapc);

        for(start=0x00010000;start< 0x60000000;start+=0x1000){
                physicalAddr = MmGetPhysicalAddress((PVOID)start);
                if( physicalAddr.HighPart > g_PhysicalPage.HighPart )
                        continue;
                if( physicalAddr.HighPart == g_PhysicalPage.HighPart &&
                        physicalAddr.LowPart >= g_PhysicalPage.LowPart   )
                        continue;
                if ( !(physicalAddr.HighPart | physicalAddr.LowPart) )
                        continue;
                if(start!=(ULONG)MmGetVirtualForPhysical(physicalAddr))
                        continue;
                
                __asm {
                        cli;
                        mov eax,cr0;
                        and eax,not 10000h;
                        mov cr0,eax;
                }
                __try{
                        RtlZeroMemory( (PVOID)start, 0x1000);
                }__except(1){
                }
                __asm {
                        mov  eax,cr0
                        or   eax,10000h
                        mov  cr0,eax
                        sti
                }
        }

        KeUnstackDetachProcess (&kapc);
}

提问：
为什么第一个函数会蓝屏呢？不是用ProbeForWrite验证过了吗？

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・1

支持

最新回复 (3)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼是验证了，但是你验证返回值了吗？雷… 2009-8-5 17:16 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 3 楼放在 try 块里的呀，ProbeForWrite 哪来的返回值？？ 2009-8-5 17:48 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼 sorry，记错了，跟另一个XX函数搞混了，try也不是万能的啊 2009-8-5 20:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Fypher

发帖

251

回帖

260

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼是验证了，但是你验证返回值了吗？雷… 2009-8-5 17:16 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 3 楼放在 try 块里的呀，ProbeForWrite 哪来的返回值？？ 2009-8-5 17:48 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼 sorry，记错了，跟另一个XX函数搞混了，try也不是万能的啊 2009-8-5 20:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复