[求助] R3 拷贝驱动模块内存？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
mimotion 雪币： 277 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mimotion 2 楼这个不是用什么函数的问题,R3是不可以直接读写R0内存,但是我们可以曲线救国, 简单点说,就是实现驱动的通讯在R0里面去读取R0的内容就可以了, 楼主多看看论坛里面的帖子这方面的东西以前有好多人研究过 2018-7-4 00:27 0
ffashi 雪币： 772 活跃值： (1002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 3 楼 mimotion 这个不是用什么函数的问题,R3是不可以直接读写R0内存,但是我们可以曲线救国, 简单点说,就是实现驱动的通讯在R0里面去读取R0的内容就可以了, 楼主多看看论坛里面的帖子这方面的东西以 ... 是这样的，我想判断某驱动是否存在，有没有别的方法呢？？麻烦了！ 2018-7-4 01:21 0
ffashi 雪币： 772 活跃值： (1002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 4 楼 mimotion 这个不是用什么函数的问题,R3是不可以直接读写R0内存,但是我们可以曲线救国, 简单点说,就是实现驱动的通讯在R0里面去读取R0的内容就可以了, 楼主多看看论坛里面的帖子这方面的东西以 ... 我刚开始的想法是。拷贝驱动内存，完了做md5比对。好像这个方法行不通了。 2018-7-4 01:23 0
StriveXjun 雪币： 1044 活跃值： (1395) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 74 关注私信	StriveXjun 5 楼你需要知道。 PE在内存中已经对齐和没有对齐的区别。为什么脱壳时机要找在OEP？况且你这个还已经运行了，全局变量区段很多东西都已经初始化了。自己写个驱动，挂个Loadimage回调，有驱动加载，就备份一遍呗。 2018-7-4 11:43 0
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 6 楼首先你得进R0。纯R3读内核内存不存在的，你以为meltdown呢 4K对齐之后对每个page进行MmIsAddressValid+MmGetPhysicalAddress+MmMapIoSpace+memcpy一套连招带走。实际上pch用的直接就是MmIsAddressValid+memcpy，因为没有锁住虚拟地址和物理地址，碰到某些奇葩东西有极小概率蓝屏。最后于 2018-7-4 17:24 被hzqst编辑，原因： 2018-7-4 17:23 0
ffashi 雪币： 772 活跃值： (1002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 7 楼明白了，谢谢！ 2018-7-8 23:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
mimotion 雪币： 277 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mimotion 2 楼这个不是用什么函数的问题,R3是不可以直接读写R0内存,但是我们可以曲线救国, 简单点说,就是实现驱动的通讯在R0里面去读取R0的内容就可以了, 楼主多看看论坛里面的帖子这方面的东西以前有好多人研究过 2018-7-4 00:27 0
ffashi 雪币： 772 活跃值： (1002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 3 楼 mimotion 这个不是用什么函数的问题,R3是不可以直接读写R0内存,但是我们可以曲线救国, 简单点说,就是实现驱动的通讯在R0里面去读取R0的内容就可以了, 楼主多看看论坛里面的帖子这方面的东西以 ... 是这样的，我想判断某驱动是否存在，有没有别的方法呢？？麻烦了！ 2018-7-4 01:21 0
ffashi 雪币： 772 活跃值： (1002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 4 楼 mimotion 这个不是用什么函数的问题,R3是不可以直接读写R0内存,但是我们可以曲线救国, 简单点说,就是实现驱动的通讯在R0里面去读取R0的内容就可以了, 楼主多看看论坛里面的帖子这方面的东西以 ... 我刚开始的想法是。拷贝驱动内存，完了做md5比对。好像这个方法行不通了。 2018-7-4 01:23 0
StriveXjun 雪币： 1044 活跃值： (1395) 能力值： ( LV3，RANK：35 ) 在线值：发帖 4 回帖 214 粉丝 74 关注私信	StriveXjun 5 楼你需要知道。 PE在内存中已经对齐和没有对齐的区别。为什么脱壳时机要找在OEP？况且你这个还已经运行了，全局变量区段很多东西都已经初始化了。自己写个驱动，挂个Loadimage回调，有驱动加载，就备份一遍呗。 2018-7-4 11:43 0
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 6 楼首先你得进R0。纯R3读内核内存不存在的，你以为meltdown呢 4K对齐之后对每个page进行MmIsAddressValid+MmGetPhysicalAddress+MmMapIoSpace+memcpy一套连招带走。实际上pch用的直接就是MmIsAddressValid+memcpy，因为没有锁住虚拟地址和物理地址，碰到某些奇葩东西有极小概率蓝屏。最后于 2018-7-4 17:24 被hzqst编辑，原因： 2018-7-4 17:23 0
ffashi 雪币： 772 活跃值： (1002) 能力值： ( LV2，RANK：10 ) 在线值：发帖 75 回帖 253 粉丝 9 关注私信	ffashi 7 楼明白了，谢谢！ 2018-7-8 23:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复