- 博客(3)
- 资源 (15)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 win7 x64 windbg 手动虚拟地址转物理地址
win7 x64系统手动查找物理内存x64 结构体系下的内存寻址 别人写的intel EPT 机制详解 别人写的win764位下,32位进程与64位进程,通过PML4T,PDPT,PDT和PT 四级页转化物理内存是一样的每一级table entry的12~35位提供下一级table物理基地址的高24位,此时36~51是保留位,必须置0,低12位补零首先看 64位的31fc88 -> 000000000 000000000 ...
2020-11-19 21:20:33
640
原创 windows 10 x86 手动查找hello world 物理地址 验证分页机制
在Windows中,有2种方式:非物理地址扩展模式 物理地址扩展模式(PAE)测试环境:双击联调本机 windows 10 x64vmware + windows 10 x86 + windbg + 32位测试exe32位测试程序代码如下:物理地址扩展模式windbg实验1.运行32程序,如果如下: 2.windbg依次输入以下命令: 1.!process 0 0 quicksort.exe PROCESS 94...
2020-09-10 21:03:34
276
原创 记:windbg 查找内存泄漏
1 . gflags.exe /i test.exe +ust2. windbg附加 test.exe3.等待一会4 . !heap -l 5.随便选一个 !heap -p -a 02fe1c28 6. lmvm xxx(dll名字,不带后缀),查看模块的基地址7. 用IDA加载xxx模块,修改基地址 ,然后跳转到 8ec03f8处,查看具体函数 ...
2020-07-30 14:12:13
222
加密与解密(第4版)002
2019-01-02
加密与解密(第4版)003
2019-01-02
加密与解密(第4版)
2019-01-02
十万火急 关于32位com组件在64位系统运行的问题
2014-03-25
TA创建的收藏夹 TA关注的收藏夹
TA关注的人