本论坛为只读模式,仅供查阅,不能注册新用户,不能发帖/回帖,有问题可发邮件 xikug.xp (^) gmail.com
查看: 4105|回复: 5

只要NtMapViewOfSection被hook之后,Device\PhysicalMemory就不能在ring3操作任何的 [复制链接]

Rank: 1

发表于 2010-5-29 20:27:00 |显示全部楼层
只要NtMapViewOfSection被hook之后,Device\PhysicalMemory就不能在ring3操作任何的内核地址了?

是否是这样的?

哪位大牛能说明一下?

Rank: 1

发表于 2010-5-30 02:27:20 |显示全部楼层
你问吧问吧,问破喉咙也没有人来回答你滴,啊哈哈哈哈~

Rank: 2

发表于 2010-5-30 02:46:11 |显示全部楼层
。。。楼上的大神什么意思?

Rank: 3Rank: 3

发表于 2010-5-30 02:55:46 |显示全部楼层
xp 下可以,vista就不行了,需驱动操作之。

Device\\PhysicalMemory 和hook不hook没有直接关系。

Rank: 1

发表于 2010-5-30 06:13:58 |显示全部楼层
引用第3楼goodonline于2010-05-29 23:55发表的  :
xp 下可以,vista就不行了,需驱动操作之。

DevicePhysicalMemory 和hook不hook没有直接关系。


我的判断是:
NtMapViewOfSection被hook之后,就无法通过Device\\PhysicalMemory操作内核了。

这个判断是否准确?是否还有其他方法利用Device\\PhysicalMemory操作内核 ?

哪位大牛,指点一下。

Rank: 2

发表于 2010-5-31 00:13:31 |显示全部楼层
XP下貌似还有个NtSystemDebugControl的。。。
您需要登录后才可以回帖 登录 | 立即加入

Archiver|手机版|第8个男人 - 论坛为只读模式,仅供查阅

GMT+8, 2019-6-16 11:56 , Processed in 0.032530 second(s), 8 queries .

Design by pvo.cn

© 2011 Pvo Inc.

回顶部