None

最新推荐文章于 2022-09-14 13:38:42 发布
最新推荐文章于 2022-09-14 13:38:42 发布
阅读量510 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: exception x86
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/callesp/article/details/5988754
本文介绍了一种内核级的技术,通过修改页表项来实现页面的Hook与Unhook操作,以此来控制页面的执行权限。该技术利用了Intel x86 PAE架构的特性,特别关注Execute Disable位的设置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

VOID HookPage(PUCHAR Page)
{
  PHARDWARE_PTE_X86PAE PointerPte;
  __try {

    __asm { 
      mov   eax, Page 
      mov   eax, [eax]
    }
    PointerPte = (PHARDWARE_PTE_X86PAE)MiGetPteAddressPAE(Page);

    if (PointerPte->Valid == 1) {
      PointerPte->ExecuteDisable = 1;
      DbgPrint("HookPage = %08X", Page);
    }
  }
  __except(EXCEPTION_EXECUTE_HANDLER) {
    DbgPrint("Exception captured while hooking page");
  }
}

VOID UnhookPage(PUCHAR Page)
{
  PHARDWARE_PTE_X86PAE PointerPte;

  __try {
    __asm {
      mov  eax, Page 
      mov  eax, [eax]
    }

    PointerPte = (PHARDWARE_PTE_X86PAE)MiGetPteAddressPAE(Page);

    if (PointerPte->Valid == 1) {
      PointerPte->ExecuteDisable = 0;
    }
  }
  __except(EXCEPTION_EXECUTE_HANDLER) {
    DbgPrint("Exception captured while unhooking page");
  }
}

callesp
关注
EPROCESS 进程/线程优先级 句柄表 GDT LDT 页表 《寒江独钓》内核学习笔记(2)
weixin_34323858的博客
12-02 817
在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB。把它们放到一起是因为这三个数据结构及其外延和windows中进程的表示关系密切,我们在做进程隐藏和进程枚举的时候一定会涉及到这3类数据结构,所以这里有必要及时做一下总结,做个学习笔记,理清思路。   1. 相关阅读材料 《windows 内...
理解内存分页机制
向往大海专栏
03-23 848
在8086时期,寄存器是16位,无法存放20位的物理地址,为了解决这问题,人们提出了分段机制,分段机制就是将内存分段,每段大小64kb,在段寄存器中放入段基址,然后+上段偏移量就成了物理地址或者线性地址,为什么说是或呢?因为在采用分页基址的系统中,线性地址加上页偏移量才是真正的物理地址,如果没有用分页机制,计算出来的就是物理地址。windows NT引入了内存分页机制,此种内存管理
物理内存映射 获取PTE
xDragonx的专栏
02-19 4013
IA-32的分页机制灰常给力的。弄几个函数玩typedef struct _HARDWARE_PTE_X86 { ULONG Valid : 1; ULONG Write : 1; ULONG Owner : 1; ULONG WriteThrough : 1; ULONG CacheDisable : 1; ULONG Accessed : 1; ULONG Dirty : 1; ULONG LargePage : 1;
探究Windows 2000/XP原型PTE(http://webcrazy.yeah.net)
FreeXploiT
01-31 2135
探究Windows 2000/XP原型PTE              WebCrazy(http://webcrazy.yeah.net)    内存管理可以说是操作系统实现中最重要的环节,也是最为复杂的一环节。对于相对贫乏的内存资源,内存共享也成了一个很重要的有效手段。Windows 2000/XP在此方面的实现借助于一个称为原型PTE(Prototype PTE,PPTE)的软件机制。在《小
x64下隐藏可执行内存
hongduilanjun的博客
09-14 2684
我们如果想要实现进程隐藏在3环通常会使用到PEB断链去达到隐藏进程的效果,但是那只是表面上的进程隐藏,所有内存的详细信息都会被储存在vad树里面,这里我们就来探究在64位下如何隐藏可执行内存。
pip-25.0-py3-none-any.whl
02-04
该资源为pip-25.0-py3-none-any.whl,欢迎下载使用哦!
transformers-4.52.0-py3-none-any.whl
05-30
该资源为transformers-4.52.0-py3-none-any.whl,欢迎下载使用哦!
transformers-4.52.3-py3-none-any.whl
05-30
该资源为transformers-4.52.3-py3-none-any.whl,欢迎下载使用哦!
timm-1.0.14-py3-none-any.whl
最新发布
06-20
该资源为timm-1.0.14-py3-none-any.whl,欢迎下载使用哦!
pip-25.0.1-py3-none-any.whl
02-10
该资源为pip-25.0.1-py3-none-any.whl,欢迎下载使用哦!
内核学习记录【保护模式与驱动编程】
qq_45844442的博客
04-27 3034
滴水内核学习记录看前须知保护模式学习保护模式意义段寄存器段描述符门页TLB中断与异常PEB与TEB驱动编程分页与非分页内存三环与0环通信 看前须知 从今天起开始记录文章,你我共同学习,体会学习的快乐。因为之前这些东西我都在本地记录,所以一次发布的比较多。我个人比较喜欢以问答的方式记录学习,所以可能如果大家光看我的文章是看不懂,你可以把我文章当成是已经学习过后进行快速复习的一种途径,文章也是按照学习路线进行书写的。当然有些我个人感觉很简单或者不重要的我就没有记录,大家也可以提出,方便你我共同进步。 学习的过程
透过MmIsAddressValid看Windows分页机制
求索
10-28 1899
标 题: 【原创】透过MmIsAddressValid看Windows分页机制作 者: combojiang时 间: 2008-03-16,00:53链 接: http://bbs.pediy.com/showthread.php?t=61327这两天在逆向分析MmIsAddressValid这个函数,学习了下PAE分页机制,并且也发现了一个问题。就是本机ntoskrnl中导出的MmIsAddre
wrk笔记:申请内存的大致流程(x64)
死胖子的博客
03-12 1318
NtAllocateVirtualMemory - allocvm.c 1.检查各参数的有效性,如果当前进程不是参数制定的进程,那么附加到目标进程。 2.调整需要申请的大小,使之增加到页面的整数倍。计算需要申请的页面数。 CapturedRegionSize = ROUND_TO_PAGES (CapturedRegionSize); NumberOfPages = BYTES_TO_PA
WRK笔记:为一块VA区域创建PDE
死胖子的博客
03-12 785
allocvm.c MiCreatePageTablesForPhysicalRange (     IN PEPROCESS Process,     IN PVOID StartingAddress,     IN PVOID EndingAddress     ) 1.计算需要从StartingAddress到EndingAddress需要多少物理页面才够装下页目录。
PAE模式下的地址转译
zskof的专栏
12-08 2233
 基础的东西可以看一下 jiurl 写的 分页机制这里只写一下最近看PAE,学到的东西------------------------------------------------------PAE 即为物理地址扩展(Physical Address Extension),是 Intel x86 Pentium Pro处理器引入的一种内存映射模式。在此模式下CPU可以访问多达
Windows 核心编程研究系列之一(-改变进程PTE属性-)[已补完]
享受开发,颠倒银河
11-01 5402
 Windows 核心编程研究系列之一-改 变 进 程 PTE 属性-           这是我研究windows 核心编程的第一篇正式文章,之所以叫核心编程而不叫内核编程,是我觉得从字面上来看核心(core)比内核(kernel)更靠近windows中心,当然只是偶本人的看法的拉。         我们知道在 win NT 中,系统把每个进程的虚拟4G空间分为两大部份,
19-PDE-PTE
进击的小学生
10-02 7635
不知在第14篇《分页》文章里,你有没有搞懂什么是页,同时还延伸出了页表的概念。另外,还解释了逻辑地址、线性地址和物理地址之间的关系。我知道你脑子可能是一团浆糊,这只能怪我的语言表达能力还不够强。大段大段的文字让人读起来有时候很恼火,可是为了阐释问题,大段大段文字有时候又避免不了。所以,有时候不得不砍去细支末节,压缩篇幅。为了能够强化分页的知识,本篇扼要回顾前两篇内容,精简总结几个概念之间的关系。页、
内存管理(4)页面错误异常处理&物理内存管理&其他组件
Returns' Station
05-13 3281
这篇是Mm的最后一篇~18号po上来就一直设为私有状态,没时间修正... 忙得都是一些恶心事情,比如说恶心的物理实验。。就是在不知原理的情况下拿着些古怪的仪器去测出一堆即使自己瞎编也不会被发现的实现数据,然后老师签字,附带大篇幅手抄的预习报告和数据处理还有课后习题,一套流程下来需要10~15个小时,真装B啊~~~ 额,这学期开始的时候非常有兴趣将内核一些关键组件详细的研究一下,一直最搞
none
03-25
### 关于 `None` 的定义与特性 在 Python 中,`None` 是一种特殊的数据类型 (`NoneType`) 表示“无”或“空”的状态[^2]。它是单例对象,在内存中只有一个实例。尽管它的行为类似于其他假值(Falsy Values),如 `False`、`0` 或空字符串 (`""`),但它本质上不同于这些值。 #### 特性 - **唯一性**:`None` 只有一个实例,因此可以安全地通过身份比较操作符 `is` 来判断一个变量是否为 `None`。 - **用途广泛**:通常用来表示函数未返回任何显式的值,或者作为可选参数的默认值。 - **不可调用方法**:由于 `None` 不是字符串或其他复杂数据结构的对象,所以无法像字符串那样调用诸如 `.strip()` 或 `.replace()` 这样的方法[^3]。 以下是验证 `None` 唯一性的代码示例: ```python a = None b = None print(a is b) # 输出 True ``` 需要注意的是,虽然 `None` 和空字符串 (`""`) 都会被视为假值,但在实际应用中它们的意义完全不同。例如,当需要区分“没有提供值”和“提供了空字符串”,则应分别使用 `None` 和 `""`。 ### ctypes.COMError 错误分析 如果遇到错误消息 `ctypes.COMError: (-2147201022, None, (None, None, None, 0, None))`,这表明 COM 接口调用失败,并且可能缺少有效的返回描述信息[^1]。这种情况下,建议检查以下几点: - 是否正确初始化了 COM 对象? - 调用的具体接口是否存在权限不足或输入参数非法的情况? #### 示例调试代码 下面展示如何捕获并处理此类异常: ```python import ctypes try: result = some_com_function() except ctypes.COMError as e: print(f"COM Error occurred: {e}") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值