[求助]看不到DLL对应的物理内存-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
憧憬明天雪币： 39 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	憧憬明天 2 楼其实我也是来看看的 2014-10-13 23:26 0
EvilKnight 雪币： 487 活跃值： (827) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 17 关注私信	EvilKnight 4 3 楼具体还是看你的机器吧,比如开了物理内存扩展和没有开的转换方式又不同,你看一下intel手册,上面有写的. windbg的话你可以看看!vtop !vpdd !pte 2014-10-13 23:32 0
vintage 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 40 粉丝 0 关注私信	vintage 4 楼没开PAE 是正常二级页表，先谢谢你！再看看 2014-10-13 23:42 0
holysh 雪币： 3 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	holysh 5 楼是不是你debug的进程的上下文环境不对，windbg 输入.process /i 87b7c020 ，然后g，再次中断到windbg的时候才是calc的进程上下文，这时候取页表也进行线性地址到物理地址的转换。 2014-10-14 13:05 0
无名侠雪币： 7169 活跃值： (10009) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 408 粉丝 651 关注私信	无名侠 12 6 楼 Cr3里面的是物理地址。 Windbg读取的好像是线性地址。 2014-10-25 16:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
憧憬明天雪币： 39 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	憧憬明天 2 楼其实我也是来看看的 2014-10-13 23:26 0
EvilKnight 雪币： 487 活跃值： (827) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 17 关注私信	EvilKnight 4 3 楼具体还是看你的机器吧,比如开了物理内存扩展和没有开的转换方式又不同,你看一下intel手册,上面有写的. windbg的话你可以看看!vtop !vpdd !pte 2014-10-13 23:32 0
vintage 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 40 粉丝 0 关注私信	vintage 4 楼没开PAE 是正常二级页表，先谢谢你！再看看 2014-10-13 23:42 0
holysh 雪币： 3 活跃值： (47) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	holysh 5 楼是不是你debug的进程的上下文环境不对，windbg 输入.process /i 87b7c020 ，然后g，再次中断到windbg的时候才是calc的进程上下文，这时候取页表也进行线性地址到物理地址的转换。 2014-10-14 13:05 0
无名侠雪币： 7169 活跃值： (10009) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 408 粉丝 651 关注私信	无名侠 12 6 楼 Cr3里面的是物理地址。 Windbg读取的好像是线性地址。 2014-10-25 16:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复