Windows内核逆向-强大的PreviousMode

oxygen1a1 · 发表于 2022-8-10 18:01

前言我今天上午发了一个该过的CE，CE过游戏保护的框架，这里分享下自己的逆向和写代码的历程。
求恒大加精，蓝屏了大概30次。
因为我要自己记笔记，所以写的真的很详细。真的花了很大功夫。

游客，如果您要查看本帖隐藏内容请回复

结语
以上就是我这次分析Windows内核得出的结论，真是很不容易，稍微不注意就会蓝屏。但是写到这，我不禁感叹到，强大的PreviousMode。参考文章&文献:
未经允许，禁止转载！
https://www.codewarrior.cn/ntdoc/win2k/mm/MmCopyVirtualMemory.htm
https://bbs.pediy.com/thread-264999.htm
https://blog.csdn.net/qq_21000273/article/details/53966150
https://blog.csdn.net/weixin_44286745/article/details/104298132
https://www.writebug.com/git/Demon-Gan-123/SSDT-Function-64bit

oxygen1a1 · 发表于 2022-8-15 09:08

更正一个错误:
是if (((~GrantedAccess & DesiredAccess) != 0) && (AccessMode != KernelMode))
{
return STATUS_ACCESS_DENIED; // 权限不足
}
而不是
是if (((~GrantedAccess & 0x1FFFFFF) != 0) && (AccessMode != KernelMode))
{
return STATUS_ACCESS_DENIED; // 权限不足
}
这个DesiredAccess是Write/Read VirtualMemory填的，由此来用权限区别可以读还是可以写。
因为Read的时候需要READ的权限，WRITE的时候需要WRITE的权限

任国富 · 发表于 2022-8-10 21:37

感谢你的分享

snak2020 · 发表于 2022-8-10 21:45

感谢分享

lvkeqin · 发表于 2022-8-10 22:09

感谢分享

幽灵and九幽 · 发表于 2022-8-10 22:12

内核大佬啊

192939 · 发表于 2022-8-10 22:18

看看是啥啊

小小沫涵 · 发表于 2022-8-10 22:45

感谢分享！学习下

ZTX · 发表于 2022-8-10 22:47

感谢你的分享

涛涛 · 发表于 2022-8-10 22:54

什么东西来看看！！

Jrhaoge · 发表于 2022-8-10 23:00

膜拜大佬！！！

		自动登录	找回密码
密码			立即注册

1层	11层
2层
3层
4层
5层
6层
7层
8层
9层
10层

[原创逆向图文] Windows内核逆向-强大的PreviousMode

评分

评分