32位/64位WINDOWS驱动之-突破进程保护映射的方法进行跨进程读内存2

已于 2023-07-02 21:28:44 修改
阅读量238 收藏
点赞数
分类专栏: MFCC++编程 驱动开发 文章标签: windows 单片机 stm32 服务器 驱动开发 java 嵌入式硬件
于 2023-07-02 21:26:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a756598009/article/details/131505477
版权
驱动层packpack8pack。
摘要由CSDN通过智能技术生成

32位/64位WINDOWS驱动之-突破进程保护映射的方法进行跨进程读内存2

一、在过保护读写筛选器中添加 读写驱动2.c

驱动层
代码如下:

#include <ntifs.h>



//OK 测试通过 遇到2个坑 
//第1个坑 sizeof(PKAPC_STATE)是指针 得改结构大小 sizeof(KAPC_STATE)
//第2个坑 KeStackAttachProcess后 进程空间变化了 得用内核内存 中转 BUF缓冲区
//Address为目标进程的内存地址
//Buffer //当前进程的地址
BOOLEAN KReadProcessMemory2(IN PEPROCESS Process, IN PVOID Address, IN UINT32 Length, IN PVOID UserBuffer)
{
   

	KAPC_STATE apc_state;
	RtlZeroMemory(&apc_state, sizeof(KAPC_STATE));
	//1为UserBuffer 创建 MDL内存描述
	//创建MDL来读取内存 UserBuffer=0x200000
	DbgPrint("yjx:sys64  %s 行号=%d  (Process=%p,Address=%p,Length=%d,UserBuffer=%p)" , __FUNCDNAME__, __LINE__ ,Process,Address,Length,UserBuffer);
	PMDL g_pmdl = IoAllocateMdl(UserBuffer, Length, 0, 0, NULL); //8 可以修改成 要读取的内存大小
	if (!g_pmdl)
	{
   
		return FALSE;
	}

	//2标记为非分页内存
	MmBuildMdlForNonPagedPool(g_pmdl);
	//3锁定 映射用户内存 到 内核内存 0x100000
	unsigned char* Mapped = (unsigned char*)MmMapLockedPages(g_pmdl, KernelMode); //UserMode
	if (!Mapped)
	{
    //映射失败
		IoFreeMdl(g_pmdl);
		return FALSE;
	}
	//成功 映射了 地址
	//切换到 目标进程
	KeStackAttachProcess((PVOID)Process, &apc_state);
	//判断目标地址是否可以访问 UserBuffer不可访问 Mapped可以访问
	BOOLEAN dwRet = MmIsAddressValid(Address);
	if (dwRet)
最低0.47元/天 解锁文章
a756598009
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
32位/64位WINDOWS驱动之-突破进程保护进程内存
a756598009的博客
07-01 748
类别:值 控件类型: EDIT 名称: m_targetPID 变量类型: UINT32。以上就是突破进程保护进程内存的全部内容了。加一个控制码和驱动对应。
32位/64位WINDOWS驱动突破进程保护CR0方式写入只内存
a756598009的博客
07-08 365
0x400000#define PAGE_READONLY 0x02 只#define PAGE_READWRITE 0x04 可可写#define PAGE_WRITECOPY 0x08 写时复制#define PAGE_EXECUTE 0x10 可执行#define PAGE_EXECUTE_READ 0x20 可可执行#define PAGE_EXECUTE_READWRITE 0x40 可可写可执行。
进程内存
qq_41490873的博客
06-07 1435
解决方法是把数据写到高2G内存,然后切换cr3.把高2G的数据写入到目标程序。
驱动进程内存 附源码
陈刚编程心得与知识集
01-24 4797
ULONG readmemory(IN ULONG windowh,IN ULONG BaseAdd,IN ULONG BufferSize) {   //参数一:窗口句柄 参数二:要取的地址 参数三:取的大小   HANDLE ProcessId=0;   ProcessId =(HANDLE) RealNtUserQueryWindow(windowh, 0);//窗口句柄转化为进
COM进程内存管理
daviemeng的博客
07-15 645
COM进程内存管理
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
Hook SSDT允许开发者在系统服务调用之前或之后插入自定义代码,以实现特定的功能,如监控系统行为、提升权限或者进行进程保护驱动保护。 **什么是SSDT?** System Service Dispatch Table(系统服务调度表)是...
完美的内存中加载DLL支持32位64位DLL
02-20
综上所述,内存加载DLL涉及到的知识点包括PE文件格式的理解、32位64位环境的差异处理、Windows API的使用以及平台兼容性问题。这个源代码资源提供了一个实现这些功能的示例,对于学习和实践此类技术的开发者来说...
9. Linux驱动开发-视频广告机开发、Linux进程编程介绍.pdf
07-10
- **内存映射(mmap)**:通过内存映射文件,使得多个进程可以共享同一份文件内容。 - **信号(Signal)**:用于进程间同步和异常处理,如发送中断请求或通知事件。 4. **实用函数** - **execl函数族**:如`...
vc++进程与端口的映射 源代码
03-28
在IT领域,尤其是在系统编程和网络通信中,进程与端口的映射是一个重要的概念,尤其是在使用VC++这样的编程环境中。本文将详细讲解这个主题,并通过"vc++进程与端口的映射 源代码"这个标题所暗示的内容,探讨如何在...
sic:枚举Windows上的用户模式共享内存映射
05-11
共享很重要-枚举Windows上的共享内存映射概述该实用工具枚举Windows进程映射的各种共享内存区域。 SiC利用Windows驱动程序和 API扫描正在运行的进程并找到所述区域。准备运行的二进制文件可以在部分中下载。 特别...
x86处理器架构——32位x86处理器架构
tombaby_come的博客
10-16 280
重点讲解了 32 位 x86 处理器的基本架构特点。这些处理器包括了 Intel IA-32 系列中的成员和所有 32 位 AMD 处理器。
32位/64位WINDOWS驱动之-突破进程保护进程内存方法3
a756598009的博客
07-05 596
代码如下: 代码如下: 添加一个按钮为写数据2,按钮ID为 IDC_BUTTON3_WRITE2 添加控制码 D0027_28_MFCTEST 创建一个基于对话框的程序 为了测试方便 关闭属性里面的-链接器-高级- 随机基址 - 选择否 RELEASE里面的也要选择否 添加代码: CD002728MFCTESTDlg dlg;//局部变量 代码如下: 我们把写入程序编辑框中的地址放到 ,D0027_28写数据按钮中 以上就是突破保护进程内存方法了。
thinkphp框架
晴天Smile
09-21 608
thinkphp框架={ #######路由规则###### #下面是一个标准的URL访问格式: http://serverName/index.php/模块/控制器/操作#模块指的是你放控制器的目录名 http://serverName/index.php/Home/Index/index#默认入口文件,也可以简写http://serverName/index.php #上面这种URL...
【Framework】Android进程通信IPC之2——Bionic
Gaga246的博客
05-26 1108
本次分享Android进程通信IPC之2——Bionic一、为什么要学习BionicBionic库是Android的基础库之一,也是连接Android系统和Linux系统内核的桥梁,Bionic中包含了很多基本的功能模块,这些功能模块基本上都是源于Linux,但是就像青出于蓝而胜于蓝,它和Linux还是有一些不一样的的地方。
Android Framework进程通信IPC之6——Binder框架
Gaga246的博客
06-17 3811
Android 从下而上分了内核、硬件抽象、系统服务、Binder IPC 、应用程序框架Android 中"应用程序框架"以 SDK 的形式开放给开发者使用,“系统服务” 中的核心服务随系统启动而运行,通过应用序框架提供的 Manager 实时为应用程序提供服务调用。系统服务中每一个服务运行在自己独立的进程空间中,应用程序框架中的 Manager 通过 Binder IPC 的方式调用系统服务中的服务。简单的说,Binder是Android平台上的一种进程通信技术。
Windows核心编程 进程操作
最新发布
qq_61553520的博客
11-24 1276
Winodws核心编程 进程使用句柄,进程操作内存
win32 进程的消息传递
qq_40675078的博客
05-12 362
C++ win32 进程消息传递
进程申请内存的过程(学习中,请指教)
hxl1997526的博客
05-30 1525
①当进程开始执行需要申请内存时,会通过malloc函数去申请,此时会申请一个连续的4G虚拟内存空间,并设置相应的页表项,此时并不会分配物理内存,即也不会映射相应物理内存地址。 ②当进程代码去写此页表项的时候,CPU会访问虚拟内存,发现对应的虚拟内存没有映射到物理内存;就会引发缺页中断,此时调用缺页中断函数。 ③函数调用时如果有足够的内存,就会分配并将磁盘中此程序的代码与数据拷贝到物理内存上,并完成页表的映射。 如果内存不足则会触发: 后台内存回收(kswapd):在物理内存紧张的时候,会唤醒
13.进程内存
My classmates
10-22 3883
进程的本质是"进程挂靠”正常情况下, A进程的线程只能访问A进程的地址空间,如果A进程的线程想访问B进程的地址空间,就要修改当前的Cr3的值为B进程的页目录表基值(KPROCESS.DirectoryTableBase)。 即: mov cr3,B.DirectoryTableBase 进程操作 A进制中的线程代码: mov cr3,B.DirectoryTableBase //切换Cr3...
c++ windows 驱动 隐藏进程内存
07-13
C Windows驱动可用于隐藏进程内存。在Windows操作系统中,驱动程序是一种特殊的软件,负责与硬件设备通信并提供操作系统与设备之间的接口。 当涉及到隐藏进程时,驱动程序可以通过拦截系统调用函数和修改进程控制块(PCB)来实现。它可以隐藏特定的进程或整个进程列表,使其在任务管理器或其他系统监视工具中不可见。这种技术在某些情况下可能被恶意软件或攻击者使用,以隐藏其存在并避免被发现。 另外,驱动程序还可以用于隐藏内存。它可以通过修改内核数据结构(如页表)和虚拟内存管理器来实现对内存的隐藏。通过这种方式,驱动程序可以修改访问权限或虚拟内存映射,以防止其他进程或工具对受保护内存区域进行访问和检测。 然而,这些技术不仅可以被恶意软件或攻击者使用,也可以被用于系统管理和安全目的。例如,某些反病毒软件可能使用驱动程序来隐藏其活动,以避免被恶意软件检测和终止。 总之,C Windows驱动可以用于隐藏进程内存。这种技术可以被用于恶意目的,但也可以用于系统管理和安全的目的。因此,在使用这些技术时,需要保持警惕,并确保其使用是合法和合理的。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a756598009

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值