x64驱动 关闭&开启 写时保护

最新推荐文章于 2023-11-18 08:45:22 发布
最新推荐文章于 2023-11-18 08:45:22 发布
阅读量1.6k 收藏 7
点赞数
分类专栏: Windows 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Simon798/article/details/107164424
版权

背景

在内核里想要写入“别人的”内存(一般指 NTOS 等系统模块的内存空间),需要遵守一个规则 : IRQL和内存保护。

  • IRQL称为中断请求级别,从0~31 共32个级别
  • 内存保护可以打开和关闭,如果在内存处于保护状态时写入,会导致蓝屏

一般来说,要写入“别人的”内核内存,必须关闭内存写保护,并把 IRQL提升到 2 才行(绝大多数候时候 IRQL 都为 0 ,当IRQL=2时,会阻断大部分线程执行,防止执行出错)。

内存是否处于写保护的状态记录在 CR0 寄存器上,因此直接修改CR0寄存器的值即可。而提升或降低IRQL则使用KeRaiseIrqlToDpcLevel和KeLowerIrql实现(WIN64的IRQL值记录在CR8寄存器上,而WIN32的IRQL值记录在KPCR上)。

代码示例

// 需要 #include <intrin.h>

// write protect off
KIRQL WPOFFx64()
{
	// 提高中断请求优先级到 DISPATCH_LEVEL 级别
    KIRQL irql = KeRaiseIrqlToDpcLevel();

	// 获取 cr0 寄存器中的值(cr0 控制 cpu 的操作模式)
    UINT64 cr0 = __readcr0();
    
    // 修改写保护
    cr0 &= 0xfffffffffffeffff;
    __writecr0(cr0);

	// 禁用中断
    _disable();
    return irql;
}

// write protect on
void WPONx64(KIRQL irql)
{
	// 获取 cr0 中的值
    UINT64 cr0 = __readcr0();

	// 恢复写保护
    cr0 |= 0x10000;
    __writecr0(cr0);

	// 恢复中断
    _enable();
    
    // 恢复 IRQL 到原始值
    KeLowerIrql(irql);
}
(-: LYSM :-)
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows内核编程(二)内核驱动运行,调试
懒羊羊的梦想
07-30 674
内核驱动运行、调试 驱动的运行 由于Windows数字签名的原因,没有签名或者使用测试签名的都不能放到64位系统上运行。 两个解决办法。 一、将系统设置为调试模式 二、关闭系统的驱动签名校验。 服务的基本操作 服务管理器:管理系统上的所有服务,创建、注册、修改、启动服务。 所以我们编写程序的时候,首先要打开服务管理器。其API为: SC_HANDLE WINAPI OpenSCManager( LPCTSTR lpMachineName, //字符串常量,表示机器名字,传NULL就是本机器 LPCTST
Win64 驱动内核编程-3.内核里使用内存
天使也掉毛
03-04 4602
内核里使用内存 内存使用,无非就是申请、复制、设置、释放。在 C 语言里,它们对应的函数是:malloc、memcpy、memset、free;在内核编程里,他们分别对应 ExAllocatePool、RtlMoveMemory、 RtlFillMemory、ExFreePool。它们的原型分别是:                                需要注意的是,RtlFi
win10 蓝屏重启 kernel security check failure 较为简易的解决方案
热门推荐
cyberickk blog
07-30 6万+
最近电脑几乎每天出现一次蓝屏重启,重启之后可以正常工作,所以也放着没管,直到 word 没保存就重启,丢失了几分钟的进度。。所以来分享我的踩坑经历和最终解决办法,希望大家碰到相同问题时看到我这篇,能不必再走这些弯路。 太长不看版:找到 C:\windows\minidump 中的文件——复制到桌面并压缩——压缩文件上传到OneDrive并复制共享链接——在 微软社区 发帖提问并上传文件——等待专业人员排查具体原因——对症下药 微软社区的坑 在微软社区找到 kernel security check fail
如何关闭安全检查
m0_73076061的博客
08-04 610
关闭安全检查
X64驱动开发和保护+X86X64游戏逆向分析课程
mutashizhe的博客
08-05 2684
老师教学范围和方式:木塔负责PC电脑端C语言基础和端游逆向分析部分内容,采用录制+部分直播课程教学,晚上还有专业老师讲解和指导。我要的是质量不是数量。老师备课,设计课件需要时间的。 学习周期:PC端3个月时间(具体根据同学们的进度) 主要内容和方向:C/C++从基础知识讲起;汇编基础和逆向;开发逆向内存FZ库框架编写;MFC界面和中控界面;逆向数据分析 ;X64逆向;驱动开发;驱动保护  学费:优惠价:4888RMB (原价6500RMB) 注释:有C语言或者C++语法基础学员可以再优惠:3
x64读写驱动源码.zip
09-29
"x64读写驱动源码.zip"的资源显然是一个专注于64位(x64架构)系统的驱动程序开发实例,特别关注驱动程序的读写功能。在本文中,我们将深入探讨64位驱动程序的基本概念、设计原理以及读写操作的关键技术。 一、64位...
磁盘驱动f6flpy-x64.rar
05-25
在本例中,我们关注的是名为“f6flpy-x64”的磁盘驱动,它是一个专为64位(x64)系统设计的驱动程序。这个驱动程序通常与安装过程中的F6阶段相关,当用户需要在Windows安装过程中加载额外的驱动来支持特定的硬盘控制...
HP_LaserJet1010_1015_win7_x64驱动
06-14
在"HP_LaserJet1010_win7_x64驱动"这个压缩包文件中,包含了专为Windows 7 64位系统设计的HP LaserJet 1010打印机驱动程序。下载并解压该文件后,用户需要按照以下步骤进行安装: 1. **关闭打印机**:在开始安装...
LCD128x64驱动(ST7920)
06-08
LCD128x64驱动程序是用于控制128像素宽度乘以64像素高度的液晶显示屏(LCD)的软件代码,这种显示模块通常在单片机项目中使用,以便提供图形化或文本化的用户界面。在这个特定的案例中,驱动程序是用C51语言编写的,...
LCD128x64驱动(KS0108)
06-08
描述中提到的"C51语言写的LCD128x64驱动程序"是指用C51语言编写的代码,C51是针对8051系列单片机的编译器,用于编写控制硬件操作的软件。这个驱动程序是与硬件交互的低级代码,它实现了在LCD128x64屏幕上正确显示...
关于Win7 x64下过TP保护(应用层)(转)
weixin_30565327的博客
07-21 1056
非常感谢大家那么支持我上一篇教程。Win10 快出了,所以我打算尽快把应用层的部分说完。调试对象:DXF调试工具:CE、OD、PCHunter、Windbg调试先言:TP的应用层保护做得比较多,包括对调试器的检测,比如CE工具会被DXF报非法。有的保护还是内核与应用层交替保护。应用层:1、TP让调试器卡死(内核互动)现象:<ignore_js_op>如图,TP会检测调试器让调试器暂...
易语言x64驱动保护防检测破解注入内存读写(支持win7win10全系统)
hzw320的博客
11-22 5343
现在很多游戏会检测工具,辅助, 如果我们对工具或者辅助进行保护起来,也像游戏一样阻止各种操作访问检测, 就可以让游戏检测不到避免封号。 或者防止同行盗取自己辅助里的数据信息,破解自己的辅助等行为! bilibili在线播放:易语言编程-x64强制读写-驱动保护(防破解,防检测,防注入)技术_哔哩哔哩_bilibili 易语言编程-x64强制读写-驱动保护(防破解,防检测,防注入)技术 易语言编程-x64强制读写-驱动保护(防破解,防检测,防注入)技术_哔哩哔哩_bilibili 本技.
易语言x64驱动读写(可读写有保护游戏内存数据)-稳定
hzw320的博客
02-12 1万+
现在市场上一个可以读取 有保护的游戏的驱动读写插件,价格在1000元/每月 为了帮助独立团论坛的用户节省金钱,我们开发了这款易语言模块。 这次的驱动读写可以读写测试了TX很多个游戏(CF,逆战,LOL,DNF)的内存数据, 大家都知道Tx的游戏是都有TP保护的 一般的内存读写方式都不能读写数据, 而我们这款可以轻松读写数据不被检测, 下面是功能的演示视频: CF测试: 在各系统中进行驱动保护的教程 (监视进程阻止启动,暂停,注入,保护进程不被结束,内存无..
内核驱动修改内存
不会写代码的丝丽
12-18 1490
本文会利用内核驱动进行读写取第三方应用内存。内核实现会使用内联汇编 所以对于内核数据结构每个windwos版本不一样需要判断,本文使用19041所写代码。winver即可查看你当前的版本,如下图19042.631就是构建版本号或者调用对应内核API.或者链接windbg的时候查看如下图所示。19041便是构建号。
通过修改CR0寄存器绕过SSDT驱动保护
萌萌的It人 www.itmmd.com
06-20 1802
为了安全起见,Windows XP及其以后的系统将一些重要的内存页设置为只读属性,这样就算有权力访问该表也不能随意对其修改,例如SSDT、IDT等。但这种方法很容易被绕过,我们只要将这些部分修改为可写属性就可以了,不过当我们的事情做完后记得把它们恢复为只读属性,不然会造成一些很难预料到的后果。 cr0是系统内的控制寄存器之一。控制寄存器是一些特殊的寄存器,它们可以控制CPU的一些重要特性。
win10驱动级-隐藏进程稳定不蓝屏技术
最新发布
hzw320的博客
11-18 3041
支持到了win10 64位系统 , 支持隐藏目标进程(32/64位程序进程),隐藏后,连各种ark驱动工具都看不见我们的驱动隐藏进程。隐藏进程呢,在之前很久以前的我们的game-ec 驱动模块usb版里 32位驱动 就有这个功能了 ,基本上按月付费租千元价格的驱动里才有 支持win10 64位系统的驱动隐藏进程。一般学员都知道隐藏进程的作用,但是自从微软系统出了win10 64系统后,但市面上那些驱动隐藏进程的不蓝屏的很少,有的也价格也非常贵,虽然市面上有出现了win10的驱动隐藏进程的驱动
易语言编程-驱动隐藏x64位dll模块(防DLL注入检测)
hzw320的博客
04-21 3116
这个功能呢可以让易语言隐藏64位进程里任何dll模块,包括自己注入的dll也可以隐藏,而且是驱动级别隐藏。所以很大写DLL方式辅助的一注入DLL到游戏就被发现检测,提示第三方DLL程序,关闭后再进行游戏。任何驱动工具(包括CE工具)都无法查看枚举被隐藏的DLL文件以及找不到DLL内存区域,.子程序 强制隐藏模块, 长整数型, 公开, 成功返回4,失败返回8。,用这个功能也一样可以隐藏进程中任意DLL模块不被发现。, 长整数型, , 要隐藏的dll或exe模块句柄。第三方DLL检测,是很多游戏都会做的,
Windows X64关闭内存写保护和打开内存写保护的代码
wing的专栏
03-20 5213
 关闭内存写保护的代码: KIRQL WPOFFx64() {   KIRQL irql=KeRaiseIrqlToDpcLevel();   UINT64 cr0=__readcr0();   cr0 &= 0xfffffffffffeffff;   __writecr0(cr0);   _disable();   return irql; } 打开内存写保护
x64驱动读写易语言模块
07-29
要在x64驱动程序中实现对易语言模块的读写功能,需要按照以下步骤进行操作: 1. 驱动程序环境配置:在Windows x64系统上,使用Visual Studio进行驱动程序开发,选择合适的平台工具集进行编译。确保驱动程序适配系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值