- 博客(4)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 Windows分页管理机制的学习(一)实践2
(二)针对开启PAE模式来进行分析 测试机器Win7 32位系统:(Dbgview.exe程序的线性(虚拟)地址与物理地址的对应) 根据读INTEL手册可知,开启了PAE模式后线性(虚拟)地址的结构发生了变化(开启PAE后PDE共4*4kb,每项8byte ): 30~31位变成了PDPTE 首先在虚拟机中打开OD,加载Dbgview.exe记录下入口点地址:00415757
2014-11-09 21:11:46
900
原创 Windows分页管理机制的学习(一)实践1
一)先来针对未开启PAE模式来进行分析 测试机器XP 32位系统:(Dbgview.exe程序的线性(虚拟)地址与物理地址的对应) 这里关闭了PAE模式。 我先用OD载入Dbgview.exe程序,并且运行, 看到程序入口点的线性(虚拟)地址:004153B7==> 00000000 01000001 01010011 10110111 根据INTEL手册中的定义
2014-11-08 21:06:06
1878
原创 Windows分页管理机制的学习(一)理论部分
PAE模式 什么是PAE模式:PAE,物理地址扩展,是基于x86 的服务器的一种功能,它使运行 Windows Server 2003, Enterprise Edition 和 Windows Server 2003,Datacenter Edition 的计算机可以支持4GB 以上物理内存。物理地址扩展 (PAE) 允许将最多64GB 的物理内存用作常规的4 KB 页面,并扩展内核能使用的位
2014-11-08 20:55:57
1991
原创 R3修改线程上下文EIP实现的无模块注入
#include "stdafx.h" #include #include using std::cin; DWORD dwOldEip = 0; DWORD funRemote = 0; BYTE shellCode[25] = { 0x68, 0x78, 0x56, 0x34, 0x12, //push
2014-11-07 11:33:35
4064
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人