使用IDA反汇编系统NTReadVirtualMemory函数,模拟实现里边的部分函数

最新推荐文章于 2022-11-23 13:38:51 发布
最新推荐文章于 2022-11-23 13:38:51 发布
阅读量3.5k 收藏
点赞数
分类专栏: 操作系统 汇编 开发工具 windows 文章标签: windows驱动开发 编译器 windows 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lileiyang12/article/details/13016735
版权
首先是IDA的使用,打开VMware虚拟机,找到C:\Windows\system32\ntkrnlpa.exe,考到本地电脑,用IDA打开。配置symbol标志文件:找到IDA文件下边的cfg\pdb.cfg,使用UltraEdit打开,第8行有个_NT_SYMBOL_PATH字符串,记住之后配置系统环境变量,计算机---属性---高级系统设置---高级---环境变量---系统变量---新建
摘要由CSDN通过智能技术生成

首先是IDA的]使用,打开VMware虚拟机,找到C:\Windows\system32\ntkrnlpa.exe,考到本地电脑,用IDA打开。

配置symbol标志文件:找到IDA文件下边的cfg\pdb.cfg,使用UltraEdit打开,第8行有个_NT_SYMBOL_PATH字符串,记住之后配置系统环境变量,计算机---属性---高级系统设置---高级---环境变量---系统变量---新建---变量名填写_NT_SYMBOL_PATH,变量值填写你的symbol标志文件的路径,比如:D:\vmsysbolxp,OK。

在左边的Functions window里边找到NtReadVirtualMemory,双击进入IDA View - A,这部分就是NtReadVirtualMemory对应的汇编代码,它以push开头,按F5进入Pseudocode-F,这个就是经过系统优化后反汇编出来的C语言代码,与原本的代码会有不同,主要是编译器优化的原因,不过功能几乎是一样的。在这里就可以进行反汇编的学习了。

通过IDA View - A,Pseudocode-F两部分去“猜测”原代码。

补充:

有一个文件包是微软那些函数的实现代码:WindowsResearchKernel-WRK.tar,网上好多,自己找一下,我用的是48.6MB的,使用Source Insight 3.5打开,在里边可以查看核代码的实现。

测试:看看自己实现的代码是否与刚才找到的代码实现的功能是一致的。

 

使用的常用快捷键:

F5:进入反汇编代码,使用:在汇编代码上按下F5就能到需要的返汇编位置:

最低0.47元/天 解锁文章
duhaomin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动SSDT未导出函数NtReadVirtualMemory.rtf
08-05
windows10获取SSDT未导出函数NtReadVirtualMemory详细步骤和代码,其他未导出函数同理
NT函数读内存 NtReadVirtualMemory
qq_35129925的博客
03-29 5938
typedef NTSTATUS(NTAPI*Ptr_NtReadVirtualMemory)( IN HANDLE ProcessHandle, IN PVOID BaseAddress, OUT PVOID Buffer, IN ULONG NumberOfBytesToRead...
驱动编程:NtReadVirtualMemory
weixin_30443075的博客
05-18 426
NtReadVirtualMemory函数位于ntdll中,作用就是把用户态的函数调用翻译成相应的系统调用,进入内核态。内核中一般有一个相同名字的处理函数,接收到该类型的系统调用后做实际的工作。 NTSTATUS STDCALL NtReadVirtualMemory(IN HANDLE ProcessHandle, IN PVOID BaseAddr...
5.SSDT再增加一个NtReadVirtualMemory函数
Mikasys的博客
11-04 458
代码如下,如果看不懂请看上一篇文章 Ring0 #include <ntifs.h> #include <ntstatus.h> typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; //函数地址表基地址 PULONG ServiceCounterTableBase; //被访问了多少次 ULONG NumberOfService; //表中服务函数的总数 PUCHAR ParamTable
反汇编C语言的函数
leolinux的专栏
09-30 545
objdump -D main > dump.txt | grep function
IDA反汇编工具,好用工具
11-15
IDA反汇编工具,需要额外安装一个python程序,IDA内部需要python去执行一些解析任务。
ida.rar_ida_反汇编
09-24
- IDA界面由多个主要部分组成:主窗口(显示反汇编代码)、结构视图(查看数据结构)、函数视图(显示程序中的函数列表)和内存映射视图(查看内存布局)。 2. **反汇编过程** - IDA会自动尝试识别目标文件的架构...
交互式反汇编IDA Pro
11-13
交互式反汇编IDA Pro (International Disassemble Professional) 使用前请先解压所有文件,并运行 IDAProHelper.exe 进行绿化 另请注意,others目录下面是一些附属文件,如下: 1.如果需要Python3.8支持,请安装...
IDA反汇编个STM32小程序.doc编程资料
04-01
IDA反汇编个STM32小程序.doc编程资料
IDA pro反汇编教程合集.zip
01-23
IDA pro反汇编教程合集.zip 调试 跟踪 加密 解密 脱壳 插件
反汇编系列(一) 基本函数调用
能哥的专栏
01-09 1474
#include"stdio.h" int function(int a,int b) { int c=a+b; return c; } void main() { function(1,2); getchar(); } --- c:\users\wangchao\desktop\test\test\main.cp
hook NtReadVirtualMemory干扰杀软扫描
weixin_33978044的博客
09-10 538
    信息来源:邪恶八进制信息安全团队(www.eviloctal.com)文章作者:asm(http://www.sbasm.cn)写了个对抗扫描的东西,跟大家分享!技术含量不高,大牛飘过。一直以来写的都是ring3代码,现在很认真的拼凑了一份山寨版的驱动代码,很久没这么认真过了。希望哪位大牛能指点一下,指出代码中可能存在BOSD的隐患。其他人就跟我一起学习吧~~ 很久以来,做木马免杀...
为什么NtReadVirtualMemory 硬件断点无法下断
06-24 279
win7 x64为例 nt!NtReadVirtualMemory ----- nt!MmCopyVirtualMemory NTSTATUS NTAPI MmCopyVirtualMemory(IN PEPROCESS SourceProcess, IN PVOID SourceAddress, IN PEPROCESS TargetProcess, ...
Windows系统调用学习笔记(一)—— API函数调用过程
qq_41988448的博客
10-29 6601
Windows系统调用学习笔记(一)—— API函数的调用过程前言Windows API实验:分析ReadProcessMemory第一步:定位函数第二步:开始分析 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! Windows API 描述: Application Programming Interface,简称 API 函数。...
用户层下API的逆向分析及重构
hongduilanjun的博客
03-10 938
Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。现在我们使用ollydbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现。 测试 od 我们首先在od里面跟一下在ring3层ReadProcessMemory的调用过程 首先在 exe 中 调用 kernel32.ReadProcessMemory函数,我们可以看到这一部分主要是call dword ptr ds:
Windows进程与线程---2
For Geek
09-01 348
进程空间的格局的总结 Windows用户进程空间的格局 用户进程的最低地址为MM_LOWEST_USER_ADDRESS即0x10000,最高地址为MM_HIGHEST_USER_ADDRESS即0x8000 0000 - 0x10000 - 1为用户空间可访问的最大地址 另外有一个特殊地址KI_USER_SHARED_DATA 在系统空间的0xffdf0000处 而用户是可以访问的 为此有...
Windows进程与线程---1
For Geek
07-02 1096
概述 相比于Linux中的进程管理,即创建一个线程的同时创建一个进程。而Windows中却不是这样,它是先创建一个进程作为容器,然后创建第一个线程,也就是对于CreateProcess而言,它先调用NtCreateProcess创建进程,然后调用NtCreateThread创建进程的第一个线程。 Windows进程的用户空间 一些重要的宏如下 #define MM_HIGHEST_USER_ADD...
ncread
weixin_30784141的博客
11-02 495
matlab 函数ncread(),这自变量有 source:代表的是你要载入的文件; varname:是你要提取的变量的变量名; start:你提取的变量实际是一个数组,比如你是一个三维数组 start:是你提取这个数组的值的起始索引。如果你的变量是一个三维数组,那么,比如start=[2,3,6] count=[1,2,6],代表的是你在每个对应维上提取多少个数字。 s...
Windows内核--系统调用参数验证(5.1)
最新发布
编程语言技巧经验分享
11-23 636
内核模式之所以有别于用户模式,在于内核模式应该是安全、可信的。用户系统调用可以传入各式各样的参数,可能是代码无意写错或因不预期的内存覆盖"暗地修改"参数,也可能是Hack有意传入,内核都应当妥善处理,避免内核读写到不预期的地址,造成内核被破解或不稳定。
IDA反汇编器详细教程:笨笨雄解析
"笨笨雄的IDA实例教程提供了详细的IDA反汇编工具使用指南,包括软件环境、功能介绍、快捷键列表以及主要窗口的解析。教程强调了静态分析的优势,并推荐IDA作为首选反汇编器,因为它具有丰富的功能和用户友好的界面。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值