Получить информация о секции по адресу в памяти

Тема в разделе "WASM.NT.KERNEL", создана пользователем ormoulu, 11 авг 2019.

  1. ormoulu

    ormoulu Well-Known Member

    Публикаций:
    0
    Регистрация:
    24 янв 2011
    Сообщения:
    1.208
    Есть адрес памяти в ядре, принадлежащий Section object. Не файловый, предположительно SEC_RESERVE.
    Задача получить информацию об объекте: стартовый адрес, размер, заголовки, атрибуты защиты, какие хендлы и мапинги у каких процессов имеются, и т.д. и т.п. Интересуют все методы: ядерный отладчик, юзермодный отладчик, Nt/Zw* вызовы и т.д.
    Заранее огромное спасибо.
     
  2. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    ormoulu,

    Чего стартовый адрес, если секция не файловая :scratch_one-s_head:
     
  3. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.241
    режим телепатии включен... может он имеет ввиду, что образ был руками смаппирован в ядро, а не загрузчиком... но в этом случае, если нет PE заголовков в памяти, то точку входа не найдешь... если есть заголовки, то отсканить память страницами назад до DOS сигнатуры, оттуда в заголовках найти точку входа...
    --- Сообщение объединено, 11 авг 2019 ---
    или речь вообще идет не об исполняемом коде? не понятно канеш...
     
  4. ormoulu

    ormoulu Well-Known Member

    Публикаций:
    0
    Регистрация:
    24 янв 2011
    Сообщения:
    1.208
    Код не исполняемый. Драйвер создает шареную секцию через MmCreateSection и мапит в юзермод.