oxygen1a1 发表于 2022-8-10 18:01

Windows内核逆向-强大的PreviousMode

前言我今天上午发了一个该过的CE,CE过游戏保护的框架,这里分享下自己的逆向和写代码的历程。
求恒大加精,蓝屏了大概30次。
因为我要自己记笔记,所以写的真的很详细。真的花了很大功夫。
**** Hidden Message *****
结语
以上就是我这次分析Windows内核得出的结论,真是很不容易,稍微不注意就会蓝屏。但是写到这,我不禁感叹到,强大的PreviousMode。参考文章&文献:
未经允许,禁止转载!
https://www.codewarrior.cn/ntdoc/win2k/mm/MmCopyVirtualMemory.htm
https://bbs.pediy.com/thread-264999.htm
https://blog.csdn.net/qq_21000273/article/details/53966150
https://blog.csdn.net/weixin_44286745/article/details/104298132
https://www.writebug.com/git/Demon-Gan-123/SSDT-Function-64bit

oxygen1a1 发表于 2022-8-15 09:08

更正一个错误:
是if (((~GrantedAccess & DesiredAccess) != 0) && (AccessMode != KernelMode))
{
return STATUS_ACCESS_DENIED; // 权限不足
}
而不是
是if (((~GrantedAccess & 0x1FFFFFF) != 0) && (AccessMode != KernelMode))
{
return STATUS_ACCESS_DENIED; // 权限不足
}
这个DesiredAccess是Write/Read VirtualMemory填的,由此来用权限区别可以读还是可以写。
因为Read的时候需要READ的权限,WRITE的时候需要WRITE的权限

任国富 发表于 2022-8-10 21:37

感谢你的分享

snak2020 发表于 2022-8-10 21:45

感谢分享

lvkeqin 发表于 2022-8-10 22:09

感谢分享{:5_117:}

幽灵and九幽 发表于 2022-8-10 22:12

内核大佬啊

192939 发表于 2022-8-10 22:18

看看是啥啊

小小沫涵 发表于 2022-8-10 22:45

感谢分享!学习下

ZTX 发表于 2022-8-10 22:47

感谢你的分享

涛涛 发表于 2022-8-10 22:54

什么东西来看看!!

Jrhaoge 发表于 2022-8-10 23:00

膜拜大佬!!!
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: Windows内核逆向-强大的PreviousMode