读写驱动源码 - CR3

这个驱动会直接从目标 EPROCESS 中提取 CR3，然后通过遍历 PML4 -> PDPT -> PD -> PT 来获取物理地址。

获取物理地址后，它会通过 MDL 映射物理内存并复制数据。它具备动态的 CR3 偏移量检测功能（适用于不同的 Windows 版本），并且能妥善处理大页面。

它使用 IOCTL 进行通信，但你显然可以将其替换为任何其他方式。

读写驱动源码 - CR3.zip (18.03 KB, 下载次数: 4)

2025-11-30 17:04 上传

点击文件名下载附件