背景最近为了解决一个兼容问题，看了下Windows 10 20H1的内核，发现了一处有点意思的改动。简单来说， ntdll.dll过去映射在System进程以及其他所有进程内的时候，都是以可执行页面进行映射的。但从19577开始，在System进程内，NTDLL开始映射为只读页面，而在其他所有进程内，NTDLL仍映射为可执行页面。初步检查VADs这点可以用Windbg来印证：切换到System进程...

阅读全文 »