自己在三环实现ReadProcessMemory避免三环挂钩

// readMemory.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include "windows.h"

void  ReadMemory(HANDLE hProcess,PVOID pAddr,PVOID pBuffer,DWORD dwSize,DWORD  *dwSizeRet)
{

    _asm
    {
        lea     eax, [ebp+0x14] 
        push    eax             
            push    [ebp+0x14]     
        push    [ebp+0x10]  
        push    [ebp+0xc] 
        push    [ebp+8]
        sub esp,4
            mov eax, 0bah
            mov edx,0X7FFE0300   //sysenter不能直接调用,我间接call的
            CALL DWORD PTR[EDX]
        add esp ,24

    }
}

int main(int aaaa)
{
    DWORD dwChromeID = GetCurrentProcessId();
    HANDLE hChrome;
    hChrome = OpenProcess(PROCESS_VM_READ | PROCESS_VM_WRITE, false, dwChromeID);
    int aa = 123;
    //int temp;
    //ReadProcessMemory(hChrome,&aa,&temp,4,NULL);
    int temp1;
    ReadMemory(hChrome,&aa,&temp1,4,NULL);
    int a = GetLastError();
    //printf("%d", temp);
    printf("%d", temp1);
    system("pause");
    return 0;
}

 

0X7FFE0300   到底存储的是什么,如果cpu支持快速调用,存储的是ntdll!KiFastSystemCall(),不支持ntdll.dll!KiLinitSystemCall()

程序由三环进入0环,由于权限的切换,cs段切换,ss,esp eip都要切换,这两种调用方式是为了找出这四个值。

如果cpu不支持systementer进0环,则是通过中断门进0环,

lea edx,[esp+arg_4]

int 2eh

retn

如果cpu支持快速调用,

mov edx,esp

sysenter

 

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值