自己在三环实现ReadProcessMemory避免三环挂钩

最新推荐文章于 2022-02-25 18:26:59 发布
最新推荐文章于 2022-02-25 18:26:59 发布
阅读量692 收藏
点赞数
分类专栏: 保护模式 c语言学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/H888001/article/details/102830027
版权

// readMemory.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include "windows.h"

void  ReadMemory(HANDLE hProcess,PVOID pAddr,PVOID pBuffer,DWORD dwSize,DWORD  *dwSizeRet)
{

    _asm
    {
        lea     eax, [ebp+0x14] 
        push    eax             
            push    [ebp+0x14]     
        push    [ebp+0x10]  
        push    [ebp+0xc] 
        push    [ebp+8]
        sub esp,4
            mov eax, 0bah
            mov edx,0X7FFE0300   //sysenter不能直接调用,我间接call的
            CALL DWORD PTR[EDX]
        add esp ,24

    }
}

int main(int aaaa)
{
    DWORD dwChromeID = GetCurrentProcessId();
    HANDLE hChrome;
    hChrome = OpenProcess(PROCESS_VM_READ | PROCESS_VM_WRITE, false, dwChromeID);
    int aa = 123;
    //int temp;
    //ReadProcessMemory(hChrome,&aa,&temp,4,NULL);
    int temp1;
    ReadMemory(hChrome,&aa,&temp1,4,NULL);
    int a = GetLastError();
    //printf("%d", temp);
    printf("%d", temp1);
    system("pause");
    return 0;
}

 

0X7FFE0300   到底存储的是什么,如果cpu支持快速调用,存储的是ntdll!KiFastSystemCall(),不支持ntdll.dll!KiLinitSystemCall()

程序由三环进入0环,由于权限的切换,cs段切换,ss,esp eip都要切换,这两种调用方式是为了找出这四个值。

如果cpu不支持systementer进0环,则是通过中断门进0环,

lea edx,[esp+arg_4]

int 2eh

retn

如果cpu支持快速调用,

mov edx,esp

sysenter

 

玩撕你
关注
专栏目录
利用ReadProcessMemory实现了进程间通信
06-30
主要是利用了ReadProcessMemory实现了进程间通信 1、首先运行TestApp.exe 发送方 2、然后运行RavApp.exe 接收方 3、让后将RavApp.exe中的文本框中的字符串即窗口句柄复制到TestApp.exe文本框中 4、点击TestApp.exe上的发送,数据就从TestApp.exe发送到了RavApp.exe 非常直观,效率也还可以
向进程注入托管程序集(Hook ReadProcessMemory Api)(C#源码)
07-18
托管程序集是否能被注入,这个问题一直以来都被否定,但easyhook给了我们一个解决方案
Readprocessmemory用法
热门推荐
若水
04-24 3万+
函数功能:该函数从指定的进程中读入内存信息,被读取的区域必须具有访问权限。 函数原型:BOOL ReadProcessMemory(HANDLE hProcess,LPCVOID lpBaseAddress,LPVOID lpBuffer,DWORD nSize,LPDWORD lpNumberOfBytesRead); 参数:hProcess:进程句柄 lpBaseA
实现简陋的ReadProcessMemory WriteProcessMemory
ADADQDQQ的博客
08-08 242
这样实现的话兼容性还是差点不过本质还是CR3
HOOK api readprocessmemory and writeprocessmemory
~~~jesse的专栏
10-05 4487
 编译环境:delphi 2010+windows 7 u ,用途读取其他程序中readprocessmemory和writeprocessmemory的参数,但不知读取偏移即a+($b),b是怎么读的  一 、用hook全局钩子 线程钩子:已实现 使用INLINE hookapi,CriticalSection临界区,dll分为动态loadlibry和静态加载问题1:对多线程目标
ProcessMemoryUtilities.Net:使用InlineIL使用通用类型参数实现高性能的ReadProcessMemory和WriteProcessMemory
05-08
该库在游戏黑客中通过常用的NtDll和Kernel32函数实现高性能的包装方法。 不同的类允许您将通用类型参数与ReadProcessMemory和WriteProcessMemory一起使用,并调用更简单的函数(如OpenProcess , ...
使用InlineIL实现具有通用类型参数的高性能ReadProcessMemory和WriteProcessMemory.zip
04-26
这种方法允许我们在运行时动态生成针对不同类型的IL代码,避免了多次的类型检查和装箱/拆箱操作,从而提高了性能。 需要注意的是,Inline IL和动态方法生成虽然可以提供更高的性能,但也增加了代码的复杂性,并可能...
API.zip_FindWindowA_ReadProcessMemory
09-14
Declare Function ReadProcessMemory Lib "kernel32" (ByVal hProcess As Long, ByVal lpBaseAddress As Long, lpBuffer As Any, ByVal nSize As Long, lpNumberOfBytesRead As Long) As Long Declare Function ...
ReadProcessMemory
最新发布
06-12
ReadProcessMemory 是 Windows 操作系统提供的一个 API 函数,用于读取另一个进程的内存数据。它可以帮助开发者在一个进程中读取另一个进程中的数据,并进行操作。 使用 ReadProcessMemory 函数,需要传入被读取...
Hook WriteProcessMemory & ReadProcessMemory
06-08
这个小工具可以跟踪某些内存修改器或内存补丁的行为 源码地址http://download.csdn.net/source/1570845
Hook WriteProcessMemory & ReadProcessMemory 源码
08-13
有人要源码,那就拿出来分享咯,凑字凑字凑字凑字凑字
ReadMemory
03-05
图像处理程序开发中,为了验证算法的正确性,需要验证图像中间处理结果的正确性。一般的方法是将图像送显或者保存成文件。 这在测试整个算法正确性的情况下是可以的,但是当需要调试程序内部的某个bug时,就遇到了问题。不能在调试过程中实时的现实当前图像的处理结果。 为了解决此问题,本人开发了这个小程序,能够在程序调试过程中,根据当前进程的名称和需要读取的图像buffer的首地址实时的显示图像的内容。这样能够有比较直观的感受图像的处理结果。 当然这个小程序还有好多问题,不能满足所有人的需求。如果存在任何问题或者需求,请联系我,我会尽可能的满足您。 目前在Windows、VC6.0 环境下运行良好,其他环境没有试过。
ReadProcessMemory 输入进程ID 输入读取地址
ksrsoft的专栏
05-20 2775
procedure TForm6.Button1Click(Sender: TObject); var Ghwnd: HWND; ProcID: Cardinal; Process: THandle; lpBaseAddress: Pointer; nSize: SIZE_T; lpNumberOfBytesRead: SIZE_T; // lpBuffer: arra
Hook检测
ChinaPrc
07-07 641
bool CheckHooks(const char* pszModule, const char* pszMethod, BYTE* pBytesToCheck, DWORD dwSize) { bool bOK = false; HANDLE hProcess = ::GetCurrentProcess(); HMODULE hModule = ::GetModuleHandle(pszModule); if (!hModule) return true; //The dll .
python ctypes模块引入kernel32.dll时 调用ReadProcessMemory返回参数错误
qq_39431717的博客
06-28 2612
错误描述: 读取内存地址为 0x00642650 : kernerl32 = ctypes.windll.LoadLibrary(r"C:\Windows\System32\kernel32.dll") print(“kernerl32”,kernerl32) data1 = ctypes.c_long() kernerl32.ReadProcessMemory(int(phwnd),0x00642650 , ctypes.byref(data1), 4, None) 上述代码正常运行; 当读取64位程序
ReadProcessMemory()
windroid.xyz
01-02 1367
ReadProcessMemory 从特定进程的内存里读取数据。被读取的整个位置应该是可读的否则操作会失败。 BOOL WINAPI ReadProcessMemory( __in    HANDLE hProcess , __in    LPCVOID lpBaseAddress , __out  LPVOID lpBuffer , __in    SIZE_T nSize
如何使用ReadProcessMemory读取多重指针
qq_50749602的博客
02-25 1176
使用WriteProcessMemory读取多重指针
读内存数据
zcrong的专栏
11-08 1073
ReadProcessMemory 读另一个进程的内存,原形如下: BOOL ReadProcessMemory( HANDLE hProcess, // 被读取进程的句柄; LPCVOID lpBaseAddress, // 读的起始地址; LPVOID lpBuffer, // 存放读取数据缓冲区; DWORD nSize, // 一次读取的字节数; LPDWORD lpNumberOfByt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值