分类
内核补丁

记录有关页表开辟新地址的坑..

最近看了一篇文章 特意下载了他的poc 测试一番后发现不尽人意…

首先是pde这里不能被占用 哪怕是p位置零的 。

然后是initpfn pte 在1903上蜜汁蓝屏 pde则无问题

最后就是…如下

修改一番后 勉强能用.谁知道在win7上把玩的时候出现了更好玩的事情. 众所周知 systempte 系统并未在一开始完整初始化…当你用了 有ppe pxe 无pde的 systemptespace内的页面时 当系统的systempte不够用的时候就要调用MiExpandPtes 开辟新的systempte空间..然后。。你以为你能相安无事嘛。。图样 ....ok直接给你清空…现在你的机器 如果正在这些页面上运行代码或者正要调用过去的时候。。应该就会光荣的0x50 蓝屏了…至于 作者的机器能玩的原因可能是他的地址离远吧。这个看你怎么搞,你离systempte_end远就要安全些。近嘛 啥时候怼上来就看脸了 ..当然 也可以 一开始就调用MiExpandPtes大量开辟新内存空间 然后开怼 这样应该就不会经历清零了吧。

0 0 vote
文章评分

由FAKE

Через тернии к звездам,
через радость и слезы
Мы проложим дорогу

Subscribe
提醒
guest
你的昵称 用于分别你是谁
你的电子邮箱 用于被回复时通知
0 评论
Inline Feedbacks
View all comments