banzhu
发表于 2025-11-30 21:42:17
读写驱动源码 - CR3
这个驱动会直接从目标 EPROCESS 中提取 CR3,然后通过遍历 PML4 -> PDPT -> PD -> PT 来获取物理地址。
获取物理地址后,它会通过 MDL 映射物理内存并复制数据。它具备动态的 CR3 偏移量检测功能(适用于不同的 Windows 版本),并且能妥善处理大页面。
它使用 IOCTL 进行通信,但你显然可以将其替换为任何其他方式。
**** Hidden Message *****
xins2011
发表于 2025-11-30 21:52:33
对楼猪只能说,你太伟大了!!
小陌颜
发表于 2025-11-30 22:36:43
楼主,你是一个大好人!!
shuitian
发表于 2025-11-30 23:38:53
DASSSSSSSSSS
laochencu
发表于 2025-12-1 01:55:09
66666666666666666666666
Mr小曾
发表于 2025-12-1 06:49:32
啥也不说了,感谢楼主分享哇!
qq3344224334
发表于 2025-12-1 09:58:11
正需要,支持楼主大人了!
Nina
发表于 2025-12-1 10:39:15
RE: 读写驱动源码 - CR3 [修改
985247340
发表于 2025-12-1 10:46:19
6666666666666
qixiang666
发表于 2025-12-1 11:18:06
66666666666666666666666666666
zj3293477303
发表于 2025-12-1 12:12:42
:)
拉登是我干掉的
发表于 2025-12-1 14:01:22
正需要,支持楼主大人了!
chao1323301
发表于 2025-12-1 14:49:45
啥也不说了,感谢楼主分享哇!
zd5468
发表于 2025-12-1 21:32:23
: 读写驱动源码 -
258t
发表于 2025-12-1 22:58:04
66666666666666