32位/64位WINDOWS驱动之-突破进程保护跨进程写内存方法3

最新推荐文章于 2023-07-08 16:50:51 发布
最新推荐文章于 2023-07-08 16:50:51 发布
阅读量700 收藏
点赞数
分类专栏: MFCC++编程 驱动开发 文章标签: windows 单片机 stm32 驱动开发 java 服务器 嵌入式硬件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a756598009/article/details/131565412
版权
本文档详细介绍了如何通过驱动开发实现跨进程写内存,包括修改驱动代码、添加控制码、创建MFC应用进行测试。通过MFC对话框程序与驱动交互,成功实现了在32位/64位Windows系统中突破进程保护写入内存的功能,并在虚拟机上验证了写入数据的成功。
摘要由CSDN通过智能技术生成

32位/64位WINDOWS驱动之-突破进程保护跨进程写内存方法3

一、把原来的读写驱动2改为远程写内存驱动2 ,在添加一个远程写内存驱动2

在这里插入图片描述

二、驱动层 远程写内存驱动2.c

代码如下:

#include <ntifs.h>



//OK 测试通过 遇到2个坑 
//第1个坑 sizeof(PKAPC_STATE)是指针 得改结构大小 sizeof(KAPC_STATE)
//第2个坑 KeStackAttachProcess后 进程空间变化了 得用内核内存 中转 BUF缓冲区
//Address为目标进程的内存地址
//Buffer //当前进程的地址
BOOLEAN KWriteProcessMemory2(
	IN PEPROCESS Process, 
	IN PVOID Address/*被写入的地址*/, 
	IN UINT32 Length/*要写入的长度*/, 
	IN PVOID UserBuffer/*r3层待写入数据的地址*/)
{
   

	KAPC_STATE apc_state;
	RtlZeroMemory(&apc_state, sizeof(KAPC_STATE));
	//1为UserBuffer 创建 MDL内存描述
	//创建MDL来读取内存 UserBuffer=0x200000
	DbgPrint("yjx:sys64  %s 行号=%d  (Process=%p,Address=%p,Length=%d,UserBuffer=%p)" , __FUNCDNAME__, __LINE__ ,Process,Address,Length,UserBuffer);

	PMDL g_pmdl = IoAllocateMdl(UserBuffer, Length, 0, 0, NULL); //8 可以修改成 要读取的内存大小
	if (!g_pmdl)
	{
   
		return FALSE;
	}

	//2标记为非分页内存
	MmBuildMdlForNonPagedPool(g_pmdl);
	//3锁定 映射用户内存 到 内核内存 0x100000
	unsigned char* Mapped = (unsigned char*)MmMapLockedPages(g_pmdl, KernelMode); //UserMode
	if (!Mapped)
	{
    //映射失败
		IoFreeMdl(g_pmdl);
		return FALSE;
	}
	//成功 映射了 地址
	//切换到 目标进程
	KeStackAttachProcess((PVOID)Process, &apc_state);
	//判断目标地址是否可以访问 UserBuffer不可访问 Mapped可以访问
	BOOLEAN dwRet = MmIsAddressValid(Address);
	if (dwRet)
	{
   
		KdPrint(("yjx[sys64] RtlCopyMemory(Address, Buffer, Length);\r\n", Address, UserBuffer, Length));

		//如果目标地址 可以访问 直接复制目标地址内容 到映射的内核地址区域
		//RtlCopyMemory(Mapped, Address, Length); //memcpy  读数据
		RtlCopyMemory(Address
最低0.47元/天 解锁文章
a756598009
关注
专栏目录
32位/64位WINDOWS驱动之-突破进程保护进程内存
a756598009的博客
07-01 892
类别:值 控件类型: EDIT 名称: m_targetPID 变量类型: UINT32。以上就是突破进程保护进程内存的全部内容了。加一个控制码和驱动层对应。
32位/64位WINDOWS驱动之物理地址读内存方法4
最新发布
a756598009的博客
07-08 1043
函数 通过PID切换到目标进程环境 计算出物理地址把物理地址映射到当前进程 不使用时需要用ZwUnmapViewOfSection取消映射//转换成 物理地址的方式 读取进程虚拟地址。
Win64 驱动内核编程-27.强制读保护内存
zz_strive_2012的专栏
12-10 1523
强制读保护内存 某些时候我们需要读别的进程内存,某些时候别的进程已经对自己的内存做了保护,这里说四个思路(两个R3的,两个R0的)。 方案1(R3):直接修改别人内存 最基本的也最简单的就是直接通过WriteProcessMemory 和 ReadProcessMemory对没有进行保护的程序的内存进行修改,一些单机游戏辅助什么的可能会有这种简单方式修改其他进程内存。 方案2(R3...
驱动申请大块内存
heliangbin87的专栏
05-04 2078
内核版本:3.10.0 1、ioremap_nocache /*      * Don't allow RAM to be mapped - this causes problems with ARMv6+      */     if (WARN_ON(pfn_valid(pfn)))         return NULL; 该函数内核源码中有如上一段,无法用于进行内存映射,
Windows 驱动: 消除核心内存的只读保护
IamRainLiang的专栏
01-29 2424
在很多机器上 SSDT 表是不可的,即导致机器无提示崩溃重启。这是需要去除核心内存保护: //----------------------------------------------------------------------//// 设置核心内存访问保护////--------------------------------------------------------
32位/64位WINDOWS驱动之-突破进程保护映射的方法进行进程内存2
a756598009的博客
07-02 295
驱动层packpack8pack。
32位/64位WINDOWS驱动突破进程保护只读内存驱动3
a756598009的博客
07-08 366
方法相当于CE附加程序,然后进行入只读的内存地址中(原理就是对只读内存地址进行赋予了的权限)0x400000MmGetSystemAddressForMdlSafe 进行实际的映射操作,并设置MdlFlags的MDL_MAPPED_TO_SYSTEM_VA标志。MmProbeAndLockPages 并不将物理页面映射到内核地址空间,而仅锁定物理页面。
32位/64位WINDOWS驱动突破进程保护CR0方式入只读内存
a756598009的博客
07-08 430
0x400000#define PAGE_READONLY 0x02 只读#define PAGE_READWRITE 0x04 可读可#define PAGE_WRITECOPY 0x08 时复制#define PAGE_EXECUTE 0x10 可执行#define PAGE_EXECUTE_READ 0x20 可读可执行#define PAGE_EXECUTE_READWRITE 0x40 可读可可执行。
打开进程_申请内存_读内存
01-29 2696
#include"ntddk.h" NTSTATUS ZwAllocateVirtualMemory( IN HANDLE ProcessHandle,//在这里进程里分配内存进程句柄 IN OUT PVOID *BaseAddress,//分好内存的地址 IN ULONG ZeroBits,//一般0 IN OUT PSIZE_T RegionSize,//要分配内存的大小 /
过 DNF TP 驱动保护(二)
weixin_34404393的博客
06-12 842
文章目录:                   01. 博文简介: 02. 环境及工具准备: 03. 分析 TP 所做的保护: 04. 干掉 NtOpenProcess 中的 Deep InLine Hook: 05. 干掉 NtOpenThread 中的 Deep InLine Hook: 06. 干掉 NtReadVirtualMemory 中的 InLine Hook: 0...
驱动保护模块
09-10
驱动保护模块,防止程序三方挂起。
易语言64位驱动保护教程
12-23
易语言64位驱动保护教程,非常不错的教程资料,来自独立团论坛的
易语言 win7 64位隐藏进程模块,保护进程模块
05-26
易语言隐藏进程模块支持WIn7 64位,保护进程 ,防破解,防注入,防Ce,WPE
易语言驱动文件保护模块
07-10
可以驱动保护文件和强删文件,适用64位系统 win7-win10
[Windows驱动开发]-BlackBone实现内存读取的三种方式
kinghzking的专栏
05-19 1533
参数 lpBaseAddress 的类型是LPVOID,对于32位程序,该值只有4字节,读取64位进程就只能看运气了,如果地址大于4字节,读取的结果是错的(也可能直接失败)。比如,我们读取64位的chrome进程,由于chrome.exe模块地址0x13F630000大于4字节,ReadProcessMemory显示错误的内容。驱动一直没有系统的学习过,每次用到的时候总得折腾下安装环境,现在整理下,避免以后再各种查资料。之前的项目,为了节省项目空间,lib和dll等库都未提交到git上,这次补上了,包含。
Windows驱动开发WDM (3)- 设备内存方式
zj510的专栏
11-22 6731
驱动所创建的设备一般有3种方式:缓冲区方式,直接方式和其他方式(对应DO_BUFFERED_IO, DO_DIRECT_IO和0)。 比如: fdo->Flags |= DO_BUFFERED_IO DO_BUFFERED_IO指定当前设备以缓冲区方式工作。 通常用户模式和内核模式交互的时候,用户模式会传一个buffer进来,注意:这个buffer是用户模式的虚拟地址。尽管驱动程序可以访问
[转帖]大家分析分析C++ X64X86通用驱动API源码教程
墨鱼菜鸡
09-24 489
//#include<windows.h>//#include <algorithm>//#include <string.h>//#include <iostream>//#include"tlhelp32.h"//#include <Psapi.h>//#include<ntstatus.h>//#include...
x64驱动强制读功能之[驱动取模块基址]技术
hzw320的博客
10-18 3208
现在很多比较热门新出的游戏,都具备了一些反辅助保护的机制,比如防止游戏内存数据被第三方软件程序(辅助)读 所以我重新开发了下我们Game-EC 驱动模块8.5.5加密狗模块版本里的驱动,并且支持到了win7,win8,win10 全64位系统, 让大家使用我们模块开发辅助更效率更轻松面对各种游戏问题。 类_x64强制读 教程:链接:百度网盘 请输入提取码 提取码: fhy7 bilibili:易语言x64驱动强制读-取进程模块基址_哔哩哔哩_bilibili ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a756598009

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值