2.1w+
社区成员
怎么获取DirectoryTableBase (CR3)
怎么获取DirectoryTableBase (CR3)
除了从eprocess中获取以外。。还有什么获取思路?
谢谢大神们
除了从eprocess中获取以外。。还有什么获取思路?
谢谢大神们
...全文
当前发帖距今超过3年,不再开放新的回复
发表回复
刘铠文 2018-07-24
__readcr3();
用cr3读写内存 #define DIRECTORY_TABLE_BASE 0x028 // DirectoryTableBase UINT32 idTarget = 0; PEPROCESS epTarget = NULL; UINT32 idGame = 0; PEPROCESS epGame = NULL; UINT32 rw_len = 0; UINT64 base_addr = 0; ...
CPU漏洞补丁修复导致KeServiceDescriptorTable获取变更 2018年元旦,出现的cpu的漏洞,可以在windows环三直接读取内核数据,windows对该漏洞提供补丁,补丁增加了一个页表,对应的内核处理也增加了,接下来我们看下补丁修复的表象以及对KeServiceDescriptorTable获取的...
Paging – Virtual to Physical address translation via WinDbg If you dump CR3 CPU register now you will see the DirBase in CR3. 0: kd> r cr3 cr3= 3ec331a0 Let’s pick a virtual address to do the translation, say ...
另一种读写进程内存空间的方法 我们只需要拿到目标进程里面的DirectoryTableBase[0]值并直接设置到CR3中就可以读取了。 假设要读取PID为1000的进程从0x400000开始的100个字节,只需要按下面的步骤实现: 获取PID=1000的进程的_...
NT kernel structures(xp_sp3) xp sp3未文档化结构体 The following source code can be very useful when you are debuging kernel & user objects under either ring0 or ring3 within Windows XP sp3. (note: you'd better verify it using dt -b !...
(53)进程结构体EPROCESS,擦除 DebugPort 实现反调试,ActiveProcessLinks 断链实现进程隐藏 进程最重要的作用是提供了CR3,10-10-12分页下CR3指向页目录表,2-9-9-12分页下CR3指向页目录指针表。 每个进程有一个或多个线程。本质上,没有进程切换,只有线程切换。我们过去说进程切换是切换了CR3的值,实际上...
读《毛德操:关于进程挂靠》 通过ZwReadFile()读入目标文件的开头1K字节,目的在于获取其DosHeader和NTHeaders,进而获取其 NTHeaders->OptionalHeader中的ImageBase和SizeOfImage两项信息,前者是映像在文件中的起点,后者是 映像的大小....
12.进程挂靠 进程为线程提供资源,也就是提供Cr3的值, Cr3中存储的是页目录表基址, Cr3确定了,线程能访问的内存也就确定了。 进程与线程的关系 线程代码: mov eax, dword ptr ds:(0x12345678] CPU如何解析0x12345678这个地址呢? ...
进程与线程之Windows线程切换——TSS mov eax,[edi+_EPROCESS.Pcb.DirectoryTableBase] ; 得到目标线程CR3 mov ebp,[ebx+KPCR.TSS] ; TSS寄存器 mov ecx,dword ptr[edi+_EPROCESS.Pcb.IopmOffset] mov [ebp+1Ch], eax ; 将当前TSS中的CR3修改为目标...
ReadProcessMemory函数的分析 但windows里还真就提供了那么一个机制,让你可以合法的获取别人的私有财产,这就是ReadProcessMemory和WriteProcessMemory。为什么一个进程居然可以访问另一个进程的地址空间呢?因为独立的只是低...
EPROCESS 结构 +018 uint32 DirectoryTableBase[2] +020 struct _KGDTENTRY LdtDescriptor +020 uint16 LimitLow +022 uint16 BaseLow +024 union __unnamed9 HighWord +024 struct __unnamed10 Bytes +024 byte...
JIURL玩玩Win2k进程线程篇 EPROCESS +018 uint32 DirectoryTableBase[2] +020 struct _KGDTENTRY LdtDescriptor +020 uint16 LimitLow +022 uint16 BaseLow +024 union __unnamed9 HighWord +024 struct __unnamed10 Bytes +024 byte BaseMid +025 byte...
进程线程007 进程挂靠与跨进程读写内存 文章目录进程挂靠进程与线程的关系线程与进程如何关联为什么需要ApcState.ProcessCR3的值可以随便改吗分析NtReadVirtualMemory函数...进程为线程提供资源,也就是提供CR3的值,CR3中存储的是页目录表的基址,CR3确定...
13.跨进程读写内存 进程挂靠”正常情况下, A进程的线程只能访问A进程的地址空间,如果A进程的线程想访问B进程的地址空间,就要修改当前的Cr3的值为B进程的页目录表基值(KPROCESS.DirectoryTableBase)。 即: mov cr3,B.DirectoryTableBase...
[3]windows内核情景分析--内存管理 上面的过程比较简单,由于每次访问内存都要先访问一次PTE获取该虚拟页面对应的物理页面,再访问物理页面读得对应的数据,因此实际上访问了两次物理内存,如果类似于每条这样的Mov指令都要访问物理内存两次,才能获得...
windows内核状态下进程创建解析 要更新CR3寄存器的值,结果就更换了用户地址空间,这样就达到了进程间相互隔绝的效果。 注:在Windows NT中,从第4版起,除4Kb的页之外同时还使用了4Mb的页(Pentium及更高) 来映射内核代码。但是在Windows ...
Gloomy对Windows内核的分析(内存与进程管理器) 要更新CR3寄存器的值,结果就更换了用户地址空间,这样就达到了进程间相互隔绝的效果。 注:在Windows NT中,从第4版起,除4Kb的页之外同时还使用了4Mb的页(Pentium及更高) 来映射内核代码。但是在Windows NT中...
内核知识第十讲,内核结构体简介.以及自己实现内存读写功能. 二丶通过GDT获取表内容. 我们知道.FS 里面的内容.在0环中.是存放表的位置. 我们可以看下GDT表中存放的段地址是什么. 由此得出表的首地址是 ffdff000. 这个地址则是我们表的首地址. DT命令的使用. ...
