内核编程
关注
分享
扫一扫
文章平均质量分 81
做美梦的Silent
这个作者很懒,什么都没留下…
展开
-
在Win7 x64通过PspCidTable枚举进程
PspCidTable存放着一个结构为_HANDLE_TABLE的指针,_HANDLE_TABLE结构记录句柄表的相关信息,句柄表存放着所有进程和线程的对象,其索引就是PID和TID,在WinDbg看一下相关的结构。我们遍历进程对象需要关注两个成员,第一个是TableCode,第二个是NextHandleNeedingPool。TableCode:该成员记录表级和表地址,低2位记录着表的级数,掩掉...原创 2018-06-13 17:08:11 · 2101 阅读 · 1 评论 -
Win7 x64切换CR3读写内存
NTSTATUS ReadProcessMemory(HANDLE pid,LONG_PTR buff,LONG_PTR address,SIZE_T len){ PEPROCESS pEPROCESS; NTSTATUS status; ULONG64 OldCr3; ULONG64 NewCr3; status = PsLookupProcessByProcessId(pid, &pE...原创 2018-06-28 11:16:42 · 4787 阅读 · 0 评论