白皮书中 page-fault error code: shadowWalker 原理: 接管 指定程序 的 执行页面异常.读写页面异常:然后 调用一下正常的 使其出现在快表:然后恢复到假的pte ------ 根据白皮书中 的error code 过滤出 执行.读写异常类型 相关: 将 402000 这个页面通过修改pte 设置为不存在(直接 给 p位置为 0):这样产生异常 我们接管 然后通过 0x10 判断 是否是执行异常:是的话,就将页面给挂上去. 全程接管 读写.执行异常 读写异常 -…