32位/64位WINDOWS驱动之突破进程保护写只读内存驱动3

已于 2023-07-08 16:03:42 修改
阅读量352 收藏
点赞数
分类专栏: MFCC++编程 驱动开发 文章标签: windows 驱动开发 单片机 嵌入式硬件 c#
于 2023-07-08 15:15:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a756598009/article/details/131612209
版权
本文介绍了如何在32位和64位Windows系统下开发驱动程序,实现对只读内存的写入。通过讲解VirtualProtectEx等关键API的使用,以及在驱动层和用户层的实现步骤,详细阐述了突破进程保护写只读内存的过程。在实际操作中,通过MFC应用层程序和驱动设备交互,成功实现了对特定内存地址的写入,且未导致系统崩溃。
摘要由CSDN通过智能技术生成

此方法相当于CE附加程序,然后进行写入只读的内存地址中(原理就是对只读内存地址进行赋予了写的权限)
VirtualProtectEx
League of Legends.exe
0x400000
#include<ntifs.h>
VirtualQueryEx

MmMapLockedPages
MmGetSystemAddressForMdlSafe 进行实际的映射操作,并设置MdlFlags的MDL_MAPPED_TO_SYSTEM_VA标志。

MmProbeAndLockPages 并不将物理页面映射到内核地址空间,而仅锁定物理页面
MmProbeAndLockPages 将MdlFlags=MDL_WRITE_OPERATION | MDL_ALLOCATED_FIXED_SIZE | MDL_PAGES_LOCKED
当您不再需要 MDL 描述的页时,请调用 MmUnlockPages 将它们解除锁定,然后调用 IoFreeMdl 来释放它们。

一、在驱动层,添加一个远程写只读内存驱动2.c

代码如下:


#include <ntifs.h>



//OK 测试通过 遇到2个坑 
//第1个坑 sizeof(PKAPC_STATE)是指针 得改结构大小 sizeof(KAPC_STATE)
//第2个坑 KeStackAttachProcess后 进程空间变化了 得用内核内存 中转 BUF缓冲区
//Address为目标进程的内存地址
//Buffer //当前进程的地址
static BOOLEAN KWriteProcessMemory2(
	IN PEPROCESS Process, 
	IN PVOID Address/*被写入的地址*/, 
	IN UINT32 Length/*要写入的长度*/, 
	IN PVOID UserBuffer/*r3层待写入数据的地址*/)
{
   
	unsigned char* Mapped = NULL;
	PMDL g_pmdl = NULL;
	KAPC_STATE apc_state;
	RtlZeroMemory(&apc_state, sizeof(KAPC_STATE));
	//1为UserBuffer 创建 MDL内存描述
	//创建MDL来读取内存 UserBuffer=0x200000
	
	//成功 映射了 地址
	//切换到 目标进程
	KeStackAttachProcess((PVOID)Process, &apc_state);

	BOOLEAN dwRet = MmIsAddressValid(Address);
	if (dwRet)
	{
   
		g_pmdl = IoAllocateMdl(Address, Length, 0, 0, NULL); //8 可以修改成 要读取的内存大小
		if (!g_pmdl)
		{
   
			return FALSE;
		}

		//2标记为非分页内存
		MmBuildMdlForNonPagedPool(g_pmdl);
		//3锁定 映射用户内存 到 内核内存 0x100000
		g_pmdl->MdlFlags = MDL_WRITE_OPERATION | MDL_ALLOCATED_FIXED_SIZE | MDL_PAGES_LOCKED;
		Mapped = (unsigned char*)MmMapLockedPages(g_pmdl, KernelMode); //UserMode
		if (!Mapped)
		{
    //映射失败
			IoFreeMdl(g_pmdl);
			return FALSE;
		}

	}

	//分离目标进程空间 恢复环境
	KeUnstackDetachProcess
最低0.47元/天 解锁文章
a756598009
关注
专栏目录
32位/64位WINDOWS驱动之-突破进程保护进程读写内存
a756598009的博客
07-01 859
类别:值 控件类型: EDIT 名称: m_targetPID 变量类型: UINT32。以上就是突破进程保护进程读写内存的全部内容了。加一个控制码和驱动层对应。
驱动签名 隐藏进程 保护进程 多种方式 保护进程驱动
05-18
多种方法 保护进程 断链 修改Flag hook对象 抹psp表 csscs表 注册回调 ObRegisterCallbacks
32位/64位WINDOWS驱动保护指定进程PID(拒绝CE,X64dug,OD等工具读写)
a756598009的博客
06-24 851
给编辑框添加变量 类别 值 变量类型 改成UINT32 名称m_PID 完成。把RegistrationContext;在进入派遣函数中增加两个控制开关。进程保护.c里面 注释目标进程名。剪切到判断受保护下面 并修改为。搜索不到数值,打开内存也没有数据。x64dubug附加进程直接结束。来到添加保护进程按钮控制事件。来到移除保护进程按钮控制事件。读写控制后面添加两个函数。进程名标签改为进程PID。
原版win10-进程保护驱动源码_c_保护驱动_进程保护_win10驱动保护_win10进程保护
09-11
WI10-进程保护驱动程序源代码,驱动程序级保护为您的应用程序。
32位/64位WINDOWS驱动进程保护(拒绝CE,OD等工具读写)
a756598009的博客
06-20 723
接着上一篇文章,我们只需要排除读写权限就可以拒绝OD CE等工具对程序的读写
通过驱动保护进程方案 (Window )
houxian1103的博客
08-21 3711
驱动发现打开的进程句柄是我们要保护进程时,就去掉访问权限,使任何人都无法访问受保护进程。这个文件定义了主要功能处理程序IRP_MJ_*。具体来说,IRP_MJ_CREATE和IRP_MJ_CLOSE被IRP_MJ_WRITE处理。该文件定义handle_buffer_message处理从IRP_MJ_WRITE. 根据收到的命令,驱动程序将调用enable_protection或disable_protection。- 勾住SSDT的函数,如果用卡巴,就有点麻烦,因为它也是用这招,就看谁先取得了。
32位/64位WINDOWS驱动突破进程保护CR0方式只读内存
a756598009的博客
07-08 404
0x400000#define PAGE_READONLY 0x02 只读#define PAGE_READWRITE 0x04 可读可#define PAGE_WRITECOPY 0x08 时复制#define PAGE_EXECUTE 0x10 可执行#define PAGE_EXECUTE_READ 0x20 可读可执行#define PAGE_EXECUTE_READWRITE 0x40 可读可可执行。
VB.rar_VB保护进程_vb进程保护_保护进程_进程保护_驱动保护进程
09-20
3. **驱动保护进程**:提到"驱动",意味着保护措施可能涉及到驱动级编程。驱动是操作系统的一部分,运行在核心模式,拥有更高的权限。通过编驱动程序,开发者可以更深入地控制系统资源,如内存和硬件接口,从而更...
STM32H743实现程序内存保护(MPU)【支持STM32H7系列单片机_HAL库驱动】.zip
01-30
通过配置MPU,开发者可以为不同的任务或进程分配独立的内存区域,并设置相应的读、和执行权限。例如,可以设定用户代码区只读不可,堆栈区域可读写但不可执行,这样可以避免代码被篡改和防止意外的数据溢出。 ...
驱动保护 -- 通过PID保护指定进程
weixin_41489908的博客
04-08 1407
1、添加一个编辑框输入要保护进程PID,并添加两个按钮,一个保护进程,一个解除保护。1、声明一个受保护进程PID数组。9、通过控制码实现添加和删除保护。10、添加和删除的代码具体实现。6、将函数在头文件声明一下。2、右击编辑框,添加变量。2、添加PID到保护函数。5、PID是否受保护函数。3、双击解除进程保护按钮。3、删除PID保护函数。4、清空PID保护函数。2、双击保护进程按钮。
驱动型文件保护进程保护
pony12的专栏
02-11 3656
经过N多辗转和持续验证,终于搞定了在驱动程序中同时保护进程和文件(经持久测试后,避免了导致系统蓝屏的情况),重点 1)拒绝通过进程管理器关闭进程,同时又允许某些进程可以管理 2)通过比较文件名,截获被保护的文件操作 完整代码,可从...下载 进程保护回调函数: NTSTATUS ProtectProcess(BOOLEAN Enable) { OB_CALLBACK_REGISTRATI...
win10通过命令修改系统只读文件
最新发布
m0_59239420的博客
10-25 783
win10通过命令修改系统只读文件
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
鬼手的博客
11-26 7534
驱动保护进程 句柄降权 杀软自保 游戏破图标技术原理和实现
2023驱动保护学习 -- 应用层与驱动读写操作(二)
weixin_41489908的博客
03-22 181
二、在MFC程序中添加一个按钮,实现MJ读写操作。一、在驱动程序的主函数里面注册读写函数。三、在驱动程序里面实现MJ读写操作。
32位/64位WINDOWS驱动进程保护
a756598009的博客
06-19 1677
加载驱动代码里面加入破解驱动签名限制代码在创建驱动设备后面,在调用一下安装内存保护();//函数在到驱动卸载里面调用一下卸载内存保护();//函数开发环境设置方式是:右击项目,选择属性;选中配置属性中的链接器,点击命令行;在其它选项中输入: /INTEGRITYCHECK 表示设置;/INTEGRITYCHECK:NO 表示不设置。对于使用sources文件编译的方式,增加LINKER_FLAGS=/INTEGRITYCHECK。
Windows驱动开发(一) MDL驱动读写
qq_33789853的博客
03-10 2005
使用MDL驱动读写应该是最常见的读写内存方式 不多说 直接上代码 typedef struct TongL_Process { ULONG pid; //进程ID ULONG64 Address; //内存地址 ULONG64 buf; //缓冲区指针 ULONG Size; //内存大小 }TongL_PROCESS, * PTongL_PROCESS; 读: PTongL_PROCESS pInputData = (PTongL_
32位/64位WINDOWS驱动之-突破进程保护进程内存方法3
a756598009的博客
07-05 677
代码如下: 代码如下: 添加一个按钮为数据2,按钮ID为 IDC_BUTTON3_WRITE2 添加控制码 D0027_28_MFCTEST 创建一个基于对话框的程序 为了测试方便 关闭属性里面的-链接器-高级- 随机基址 - 选择否 RELEASE里面的也要选择否 添加代码: CD002728MFCTESTDlg dlg;//局部变量 代码如下: 我们把入程序编辑框中的地址放到 ,D0027_28数据按钮中 以上就是突破保护进程内存方法了。
64位Win8下访问虚拟内存出现违规访问的问题
FoxBryant的专栏
10-12 5057
通过Hook API的方式捕获程序异常时发现一个问题,代码片段如下: if (addr) { ... VirtualProtect(addr, size, PAGE_READWRITE, &dwOldFlag); WriteProcessMemory(GetCurrentProcess(), addr, code, size, NULL); VirtualProtect(addr, size, d
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a756598009

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值