首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]为什么读取不了pml4e
发表于: 2017-7-5 03:26 3308

[求助]为什么读取不了pml4e

style 活跃值
2017-7-5 03:26
3308 
1: kd> r cr3
cr3=0000000000187000
1: kd> dq 0000000000187000
00000000`00187000  ????????`???????? ????????`????????
00000000`00187010  ????????`???????? ????????`????????
00000000`00187020  ????????`???????? ????????`????????
00000000`00187030  ????????`???????? ????????`????????
00000000`00187040  ????????`???????? ????????`????????
00000000`00187050  ????????`???????? ????????`????????
00000000`00187060  ????????`???????? ????????`????????
00000000`00187070  ????????`???????? ????????`????????
1: kd> !process 0 0
**** NT ACTIVE PROCESS DUMP ****
........
PROCESS fffffa8019801890
    SessionId: 1  Cid: 06c4    Peb: 7fffffd8000  ParentCid: 0688
    DirBase: 6ba7f000  ObjectTable: fffff8a0012cc330  HandleCount:  76.
    Image: calc.exe
........
1: kd> dq 6ba7f000
00000000`6ba7f000  ????????`???????? ????????`????????
00000000`6ba7f010  ????????`???????? ????????`????????
00000000`6ba7f020  ????????`???????? ????????`????????
00000000`6ba7f030  ????????`???????? ????????`????????
00000000`6ba7f040  ????????`???????? ????????`????????
00000000`6ba7f050  ????????`???????? ????????`????????
00000000`6ba7f060  ????????`???????? ????????`????????
00000000`6ba7f070  ????????`???????? ????????`????????



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
ugvjewxf
雪    币: 615
活跃值: (765)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
2
!dq
2017-7-5 06:42
0
hzqst
雪    币: 12876
活跃值: (9342)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
3

0000000000187000不是物理地址,谢谢
记得物理地址要cr3的值右移12位来着的

2017-7-5 08:30
0
空白即是正义
雪    币: 2347
活跃值: (58)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
hzqst 0000000000187000不是物理地址,谢谢记得物理地址要cr3的值右移12位来着的
请使用!dq  另外187000记得好像是system?
2017-7-5 10:48
0
style
雪    币: 111
活跃值: (145)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
ugvjewxf !dq
也就说访问物理地址必须用!dq  而dq只是访问虚拟地址对吧?  谢谢。~
2017-7-5 12:34
0
style
雪    币: 111
活跃值: (145)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
hzqst 0000000000187000不是物理地址,谢谢记得物理地址要cr3的值右移12位来着的
嗯。忘记去掉12位的0了,物理地址应该是0000000187
2017-7-5 12:34
0
style
雪    币: 111
活跃值: (145)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
空白即是正义 请使用!dq 另外187000记得好像是system?
谢谢,知道了
2017-7-5 12:35
0
fengyunabc
雪    币: 4064
活跃值: (4407)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
8
我怎么记得是低12位清0!!!
2017-7-5 15:09
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回