自己在三环实现ReadProcessMemory避免三环挂钩

最新推荐文章于 2021-08-08 01:00:11 发布
最新推荐文章于 2021-08-08 01:00:11 发布
阅读量692 收藏
点赞数
分类专栏: 保护模式 c语言学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/H888001/article/details/102830027
版权

// readMemory.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include "windows.h"

void  ReadMemory(HANDLE hProcess,PVOID pAddr,PVOID pBuffer,DWORD dwSize,DWORD  *dwSizeRet)
{

    _asm
    {
        lea     eax, [ebp+0x14] 
        push    eax             
            push    [ebp+0x14]     
        push    [ebp+0x10]  
        push    [ebp+0xc] 
        push    [ebp+8]
        sub esp,4
            mov eax, 0bah
            mov edx,0X7FFE0300   //sysenter不能直接调用,我间接call的
            CALL DWORD PTR[EDX]
        add esp ,24

    }
}

int main(int aaaa)
{
    DWORD dwChromeID = GetCurrentProcessId();
    HANDLE hChrome;
    hChrome = OpenProcess(PROCESS_VM_READ | PROCESS_VM_WRITE, false, dwChromeID);
    int aa = 123;
    //int temp;
    //ReadProcessMemory(hChrome,&aa,&temp,4,NULL);
    int temp1;
    ReadMemory(hChrome,&aa,&temp1,4,NULL);
    int a = GetLastError();
    //printf("%d", temp);
    printf("%d", temp1);
    system("pause");
    return 0;
}

 

0X7FFE0300   到底存储的是什么,如果cpu支持快速调用,存储的是ntdll!KiFastSystemCall(),不支持ntdll.dll!KiLinitSystemCall()

程序由三环进入0环,由于权限的切换,cs段切换,ss,esp eip都要切换,这两种调用方式是为了找出这四个值。

如果cpu不支持systementer进0环,则是通过中断门进0环,

lea edx,[esp+arg_4]

int 2eh

retn

如果cpu支持快速调用,

mov edx,esp

sysenter

 

玩撕你
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用ReadProcessMemory实现了进程间通信
06-30
主要是利用了ReadProcessMemory实现了进程间通信 1、首先运行TestApp.exe 发送方 2、然后运行RavApp.exe 接收方 3、让后将RavApp.exe中的文本框中的字符串即窗口句柄复制到TestApp.exe文本框中 4、点击TestApp.exe上的发送,数据就从TestApp.exe发送到了RavApp.exe 非常直观,效率也还可以
向进程注入托管程序集(Hook ReadProcessMemory Api)(C#源码)
07-18
托管程序集是否能被注入,这个问题一直以来都被否定,但easyhook给了我们一个解决方案
Readprocessmemory用法
热门推荐
若水
04-24 3万+
函数功能:该函数从指定的进程中读入内存信息,被读取的区域必须具有访问权限。 函数原型:BOOL ReadProcessMemory(HANDLE hProcess,LPCVOID lpBaseAddress,LPVOID lpBuffer,DWORD nSize,LPDWORD lpNumberOfBytesRead); 参数:hProcess:进程句柄 lpBaseA
实现简陋的ReadProcessMemory WriteProcessMemory
ADADQDQQ的博客
08-08 240
这样实现的话兼容性还是差点不过本质还是CR3
HOOK api readprocessmemory and writeprocessmemory
~~~jesse的专栏
10-05 4482
 编译环境:delphi 2010+windows 7 u ,用途读取其他程序中readprocessmemory和writeprocessmemory的参数,但不知读取偏移即a+($b),b是怎么读的  一 、用hook全局钩子 线程钩子:已实现 使用INLINE hookapi,CriticalSection临界区,dll分为动态loadlibry和静态加载问题1:对多线程目标
ProcessMemoryUtilities.Net:使用InlineIL使用通用类型参数实现高性能的ReadProcessMemory和WriteProcessMemory
05-08
该库在游戏黑客中通过常用的NtDll和Kernel32函数实现高性能的包装方法。 不同的类允许您将通用类型参数与ReadProcessMemory和WriteProcessMemory一起使用,并调用更简单的函数(如OpenProcess , ...
使用InlineIL实现具有通用类型参数的高性能ReadProcessMemory和WriteProcessMemory.zip
04-26
这种方法允许我们在运行时动态生成针对不同类型的IL代码,避免了多次的类型检查和装箱/拆箱操作,从而提高了性能。 需要注意的是,Inline IL和动态方法生成虽然可以提供更高的性能,但也增加了代码的复杂性,并可能...
API.zip_FindWindowA_ReadProcessMemory
09-14
Declare Function ReadProcessMemory Lib "kernel32" (ByVal hProcess As Long, ByVal lpBaseAddress As Long, lpBuffer As Any, ByVal nSize As Long, lpNumberOfBytesRead As Long) As Long Declare Function ...
ReadProcessMemory
最新发布
06-12
ReadProcessMemory 是 Windows 操作系统提供的一个 API 函数,用于读取另一个进程的内存数据。它可以帮助开发者在一个进程中读取另一个进程中的数据,并进行操作。 使用 ReadProcessMemory 函数,需要传入被读取...
Hook WriteProcessMemory & ReadProcessMemory
06-08
这个小工具可以跟踪某些内存修改器或内存补丁的行为 源码地址http://download.csdn.net/source/1570845
Hook WriteProcessMemory & ReadProcessMemory 源码
08-13
有人要源码,那就拿出来分享咯,凑字凑字凑字凑字凑字
ReadProcessMemory 输入进程ID 输入读取地址
ksrsoft的专栏
05-20 2771
procedure TForm6.Button1Click(Sender: TObject); var Ghwnd: HWND; ProcID: Cardinal; Process: THandle; lpBaseAddress: Pointer; nSize: SIZE_T; lpNumberOfBytesRead: SIZE_T; // lpBuffer: arra
Hook检测
ChinaPrc
07-07 639
bool CheckHooks(const char* pszModule, const char* pszMethod, BYTE* pBytesToCheck, DWORD dwSize) { bool bOK = false; HANDLE hProcess = ::GetCurrentProcess(); HMODULE hModule = ::GetModuleHandle(pszModule); if (!hModule) return true; //The dll .
python ctypes模块引入kernel32.dll时 调用ReadProcessMemory返回参数错误
qq_39431717的博客
06-28 2584
错误描述: 读取内存地址为 0x00642650 : kernerl32 = ctypes.windll.LoadLibrary(r"C:\Windows\System32\kernel32.dll") print(“kernerl32”,kernerl32) data1 = ctypes.c_long() kernerl32.ReadProcessMemory(int(phwnd),0x00642650 , ctypes.byref(data1), 4, None) 上述代码正常运行; 当读取64位程序
通过ReadProcessMemory读取进程内存
zz_strive_2012的专栏
11-08 8637
修改一个程序的过程如下:1、获得进程的句柄 2、以一定的权限打开进程 3、调用ReadProcessMemory读取内存,WriteProcessMemory修改内存,这也是内存补丁的实现过程。下面贴出的是调用ReadProcessMemory的例程 #include<windows.h> #include<tlhelp32.h> BOOLCALLBACKEnum...
ReadProcessMemory执行过程的全面分析(用户态和内核态)
zz_strive_2012的专栏
07-04 2390
ReadProcessMemory函数用于读取其他进程的数据。我们知道自远古时代结束后,user模式下的进程都有自己的地址空间,进程与进程间互不干扰,这叫私有财产神圣不可侵犯。但windows里还真就提供了那么一个机制,让你可以合法的获取别人的私有财产,这就是ReadProcessMemory和WriteProcessMemory。为什么一个进程居然可以访问另一个进程的地址空间呢?因为独立的只是低2G的用户态空间,高2G的内核态空间是所有进程共享的。一段执行中的线程进入内核态后,它可以拿到别人的cr3寄存器
[检测&过检测] 重写 ReadProcessMemory 、WriteProcessMemory
LYSM
07-12 2265
一、本文大纲 系统调用的两种方式:中断门和快速调用 _KUSER_SHARED_DATA 结构 使用 cpuid 指令判断当前CPU是否支持快速调用 3环进0环需要更改的4个寄存器 以 ReadProcessMemory 为例说明系统调用全过程 重写 ReadProcessMemory 和 WriteProcessMemory int 0x2e 和 sysenter 都做了什么工作? 二、中断门和快速调用 以我的理解,系统调用,即从调用操作系统提供的3环API开始,到进0环,再到返回结果到3环的全过程
ReadProcessMemory()
windroid.xyz
01-02 1363
ReadProcessMemory 从特定进程的内存里读取数据。被读取的整个位置应该是可读的否则操作会失败。 BOOL WINAPI ReadProcessMemory( __in    HANDLE hProcess , __in    LPCVOID lpBaseAddress , __out  LPVOID lpBuffer , __in    SIZE_T nSize
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值