[求助]MmIsAddressValid能否判定内存地址有效?-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 2 楼。。。。。。没有 2009-10-17 21:02 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 3 楼额........ if(MmIsAddressValid(va)) { *(PCHAR)va = 0; } 这种代码是不是会蓝的..... 加上__try是不是也会蓝? unless the memory has been locked down or the address is a valid nonpaged pool address 这个会不会是解决办法呢. 2009-10-17 21:17 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 4 楼 MJ回答好干脆。。。有莫有什么好的方法莫有? 2009-10-18 15:49 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 5 楼是的啊.有米有好办法. 2009-10-18 16:12 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 6 楼 http://hi.baidu.com/mj0011/blog/item/54bba21c069b0d8c86d6b676.html MJ在这里有透露,可惜有点不懂... 2009-10-18 16:14 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 7 楼偶去hook KeBugCheckEx试试. 2009-10-18 16:17 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 8 楼抄mj的: ZwQuerySystemInformation, 0,得到phyrange = physicalpage*pagesize, physical = MmGetPhysicalAddress(virtualaddress) if(physicalzddress > phyrange) invalid virtualaddress = MmGetVirtualAddress(physical); // 这个还要改回来?能不能直接用上边的virtualaddress啊? 2009-10-18 16:40 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 9 楼没有100% OK的方法。 2009-10-18 18:50 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 10 楼继续谷歌... 2009-10-19 15:35 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 11 楼贴一段以前zzzevazzz大牛的话（原帖忘了找不到了），顺便请路过的各位鉴定下。 ps 下面的那几个函数2k下貌似没。 21 zzzevazzz 2009-04-07 22:10 \| 回复 MmProbeAndLockPages肯定不行。对于分页地址，MmIsAddressValid也没用。我以前也想过这个问题，最后我发现，WinDbg读内存不会引起系统崩溃，不管你读哪个位置，最多也就是返回一堆问号而已。反汇编NtSystemDebugControl可以知道，系统用的是MmDbgCopyMemory，再继续反汇编，发现其中的MiDbgWriteCheck和MiDbgReleaseAddress用到了invlpg指令。恕我孤陋寡闻，不知道这是不是用来解决joanna所说的TLB corruption问题。不过，即使有汇编代码，我还是没搞懂MmDbgCopyMemory到底是怎么保证读分页内存安全的。还是说其实根本就不读分页内存。那调试器是如何做到的呢？ 22 zzzevazzz 2009-04-07 22:49 \| 回复实际上，调试器把内核访问违例这个异常处理掉，就像处理用户态内存地址一样，这样就不会BugCheck，于是所有的地址都直接读也没关系了。 2009-10-19 17:22 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 12 楼 invlpg是解决不了TLB污染问题的吧。所以说调试器本身也不行，例如你可以挂上调试器，u一下一些万年不会调用的API，例如CmRegisterCallback，或者NTFS中对FSCTL_MASK_AS_SYSTEM_HIVE的处理代码，基本都是显示无效的。 2009-10-19 19:36 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 13 楼不是没有，现成的函数没有。得靠你自己编 2009-10-19 20:38 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 14 楼感觉有点接近答案了. 2009-10-27 18:23 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 15 楼透露下方法哪~~~~给个思路~~~ 2009-11-2 09:54 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 16 楼没有现成的，可以看看缺页中断处理代码，里面有查找磁盘页面的代码 2009-11-24 10:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 2 楼。。。。。。没有 2009-10-17 21:02 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 3 楼额........ if(MmIsAddressValid(va)) { *(PCHAR)va = 0; } 这种代码是不是会蓝的..... 加上__try是不是也会蓝? unless the memory has been locked down or the address is a valid nonpaged pool address 这个会不会是解决办法呢. 2009-10-17 21:17 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 4 楼 MJ回答好干脆。。。有莫有什么好的方法莫有? 2009-10-18 15:49 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 5 楼是的啊.有米有好办法. 2009-10-18 16:12 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 6 楼 http://hi.baidu.com/mj0011/blog/item/54bba21c069b0d8c86d6b676.html MJ在这里有透露,可惜有点不懂... 2009-10-18 16:14 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 7 楼偶去hook KeBugCheckEx试试. 2009-10-18 16:17 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 8 楼抄mj的: ZwQuerySystemInformation, 0,得到phyrange = physicalpage*pagesize, physical = MmGetPhysicalAddress(virtualaddress) if(physicalzddress > phyrange) invalid virtualaddress = MmGetVirtualAddress(physical); // 这个还要改回来?能不能直接用上边的virtualaddress啊? 2009-10-18 16:40 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 9 楼没有100% OK的方法。 2009-10-18 18:50 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 10 楼继续谷歌... 2009-10-19 15:35 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 11 楼贴一段以前zzzevazzz大牛的话（原帖忘了找不到了），顺便请路过的各位鉴定下。 ps 下面的那几个函数2k下貌似没。 21 zzzevazzz 2009-04-07 22:10 \| 回复 MmProbeAndLockPages肯定不行。对于分页地址，MmIsAddressValid也没用。我以前也想过这个问题，最后我发现，WinDbg读内存不会引起系统崩溃，不管你读哪个位置，最多也就是返回一堆问号而已。反汇编NtSystemDebugControl可以知道，系统用的是MmDbgCopyMemory，再继续反汇编，发现其中的MiDbgWriteCheck和MiDbgReleaseAddress用到了invlpg指令。恕我孤陋寡闻，不知道这是不是用来解决joanna所说的TLB corruption问题。不过，即使有汇编代码，我还是没搞懂MmDbgCopyMemory到底是怎么保证读分页内存安全的。还是说其实根本就不读分页内存。那调试器是如何做到的呢？ 22 zzzevazzz 2009-04-07 22:49 \| 回复实际上，调试器把内核访问违例这个异常处理掉，就像处理用户态内存地址一样，这样就不会BugCheck，于是所有的地址都直接读也没关系了。 2009-10-19 17:22 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 12 楼 invlpg是解决不了TLB污染问题的吧。所以说调试器本身也不行，例如你可以挂上调试器，u一下一些万年不会调用的API，例如CmRegisterCallback，或者NTFS中对FSCTL_MASK_AS_SYSTEM_HIVE的处理代码，基本都是显示无效的。 2009-10-19 19:36 0
圣新冰心雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 78 粉丝 0 关注私信	圣新冰心 13 楼不是没有，现成的函数没有。得靠你自己编 2009-10-19 20:38 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 14 楼感觉有点接近答案了. 2009-10-27 18:23 0
mszjk 雪币： 34 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 542 粉丝 0 关注私信	mszjk 15 楼透露下方法哪~~~~给个思路~~~ 2009-11-2 09:54 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 16 楼没有现成的，可以看看缺页中断处理代码，里面有查找磁盘页面的代码 2009-11-24 10:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复