ring0下读取用户进程内存(转)2010-05-30 21:32ring0下读取用户进程内存

最新推荐文章于 2023-07-11 16:59:01 发布
最新推荐文章于 2023-07-11 16:59:01 发布
阅读量1.3k 收藏
点赞数 1
文章标签: 2010 exception null c
ring0下读取用户进程内存(转)2010-05-30 21:32ring0下读取用户进程内存 这里只是简单的实现下读取进程空间的数据...写操做也是一样的....比较简单... 这样你就可以在内核读用户空间了....哈哈 大家都知道在用户态我们常用 kernel32.dll中的ReadProcessMemory来读 取进程...这个函数只是简单地对传入的参数进行处理然后调用了 ntdll.dll中的NtReadVirtualMemory/ZwReadVirtualMemory....ntdll 中这俩个函数并没有什么区别...不过在内核就不一样了.....ntdll.dll中的NtReadVirtualMemory简 单的把系统服务号放进EAX..然后调用某个地址的处理程序...处理程序实现用户和内核的切换...接着内核调用了内核态的NtReadVirtualMemory......NtReadVirtualMemory中 又掉用了MmCopyVirtualMemory...接着难免少不了函数KeStackAttachProcess.. 这里我们用它来实现自己的NtReadVirtualMemory...只是简单的...我也没对一些错误进行处 理.... --by Sysnap --http://hi.baidu.com/sysnap ULONG MyReadMemory(IN PVOID BaseAddress,IN SIZE_T BufferSize,IN HANDLE pid) BaseAddress---------->>>>你想读进程开始的地址 BufferSize ---------->>>>你想读取多少个字节的数据 pid------------------>>>>你想读取的进程的PID值 注:一般PID比进程名好..虽然进程名可以从EPROCESS中得到..但PID总是唯一的.所以这个参数我用 PID而不是进程名 ULONG MyReadMemory(IN PVOID BaseAddress,IN SIZE_T BufferSize,IN HANDLE pid) { PEPROCESS EProcess; KAPC_STATE ApcState; PVOID readbuffer; NTSTATUS status; status = PsLookupProcessByProcessId((HANDLE)pid,&EProcess); if(!NT_SUCCESS(status)) { DbgPrint("failed to get the EPROCESS!!/n"); return 0; } readbuffer = ExAllocatePoolWithTag (NonPagedPool, BufferSize, 'Sys'); if(readbuffer==NULL) { DbgPrint("failed to alloc memory!/n"); return 0; } *(ULONG*)readbuffer=(ULONG)0x1; KeStackAttachProcess (EProcess, &ApcState); __try { ProbeForRead ((CONST PVOID)BaseAddress, BufferSize, sizeof(CHAR)); RtlCopyMemory (readbuffer, BaseAddress, BufferSize); KeUnstackDetachProcess (&ApcState); } __except(EXCEPTION_EXECUTE_HANDLER) { KeUnstackDetachProcess (&ApcState); } DbgPrint("%x/n",*(ULONG*)readbuffer); ExFreePool (readbuffer); return 1; } 实例: MyReadMemory((PVOID)0x7c944000,0x4,(HANDLE)904);
hucaiyu2009
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内存修改(Ring0)
KOOKNUT的博客
04-08 784
实现两个Ring3层进程虚拟地址空间中的数据拷贝,实现思路:
枚举进程——暴力搜索内存Ring0)
weixin_34273046的博客
03-09 475
上面说过了隐藏进程,这篇博客我们就简单描述一下暴力搜索进程。 一个进程要运行,必然会加载到内存中,断链隐藏进程只是把EPROCESS从链表上摘除了,但它还是驻留在内存中的。这样我们就有了找到它的方法。 在内核中,传入进程ID,通过ZwOpenProcess得到句柄,再传入句柄,通过ObReferenceObjectByHandle,可以获得EPROCESS,既然获得了EPROCESS,问...
ring0启动一个Win32进程 【译文】
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-23 605
ring0启动一个Win32进程 【译文】 文章原址:http://www.codeproject.com/useritems/KernelExec.asp Download source files - 55 Kb  Download demo project - 27 Kb  介绍 在许多不成功的尝试来试图找到一种方式来以核心模式(KernelMode)来启动可运行的Wi
Delphi使用Ring0技术读写物理扇区.rar
07-10
Delphi基于Ring0技术读写Windows系统下的硬盘物理扇区,磁盘读写操作一例,包括了VxD和仿CIH两种方法,VxD方法中还包括了所调用控件的VC 源代码,并且包括了一个测试的例子,运行效果如演示截图所示。相关的源代码分享如下:   IOR_next:longword;{ 为BCB的(MBZ for IORF_VERSION_002) 的客户链接 }   IOR_func:word;{子功能号}   IOR_status:word;{请求的状态}   IOR_flags:longword;{请求控制标志}   IOR_callback:procedure;{如果IORF_SYNC_COMMAND未设置,则为回调函数地址}   IOR_start_addr:array[0..1]of longword;{相对开始地址}   IOR_xfer_count:longword;{处理的扇区数}   IOR_buffer_ptr:longword;{客户缓冲区指针}   IOR_private_client:longword;{ BlockDev/IOS客户保留}   IOR_private_IOS:longword;{IOS保留空间}   IOR_private_port:longword;{端口驱动的私有区域}   _ureq:Turequestor_usage;   IOR_req_req_handle:longword;{请求句柄}   IOR_req_vol_handle:longword;{媒体句柄,指向VRP结构}   IOR_sgd_lin_phys:longword;{指向第一个物理SGD }   IOR_num_sgds:byte;{物理SGD的数目}   IOR_vol_designtr:byte;{视子功能号的不同,可能是以下两种情况:(1)A盘为0,B盘为1,C盘为2……(2)软盘是0-7F,硬盘是80-FF}   IOR_ios_private_1:word;{由IOS保留强制对齐}   IOR_reserved_2:array[0..1]of longword; {保留,内部使用}
探索ring0-内核漏洞概述 和 实验环境配置
WocW的博客
05-13 662
探索ring0 内核漏洞概述 内核漏洞的分类 ​ 运行在ring0上的操作系统内核、设备驱动、第三方驱动能共享同一个虚拟地址空间,可以完全访问系统空间的所有内存,而不像用户进程那样拥有独立私有的内存空间。由于内核程序的特殊性,内核程序漏洞类型也更加丰富。 ​ 可以从漏洞的严重程度和漏洞的利用原理两个角度来对内核漏洞进行分类。漏洞的严重程度是指漏洞利用后所造成的危害;漏洞的利用原理指漏洞利用过程中使用的原理和技术。 ​ 按照漏洞严重程度依次可以分为:远程拒绝服务、本地拒绝服务、远程任意代码执行和本地权限提升
ring0驱动级 隐藏进程 的源代码_在驱动层通过替换ssdt地址表中的api函数来隐藏进程
01-25
Ring0驱动级编程指的是在操作系统的最高权限级别——Ring0执行的代码,这里的"ring0"指的是CPU的特权级别,它赋予了程序对硬件的直接访问权以及对操作系统服务的完全控制。在Windows系统中,驱动程序通常由系统服务...
ring3用户级应用程序与ring0内核级驱动程序之间的调用,通信.zip
01-25
Ring3是用户级,而Ring0则是内核级。在Windows操作系统中,大部分应用程序运行在Ring3,享受较低级别的权限,以防止它们破坏系统的稳定性。而内核级驱动程序,如设备驱动和系统服务,运行在Ring0,拥有最高级别的...
易语言无驱动进入ring0
07-16
易语言无驱动进入ring0源码,无驱动进入ring0,读取cr0,操作数据,写物理内存,读物理内存,查看字节集,提升进程权限,查看字节集2,到十六进制文本,RtlAdjustPrivilege,NtSystemDebugControl,SetProcessAffinityMask,...
RING0.zip_ring0_强制删除_文件强删_驱动删除_驱动强删
07-14
1. **Ring0级别**:在x86架构的CPU中,保护模式下有四个特权环(Ring0、Ring1、Ring2、Ring3),其中Ring0代表最高权限,它是操作系统核心和设备驱动程序运行的地方。在Ring0,程序可以直接访问硬件,执行任何操作,...
todo-backend-clojure-reitit:Todo-Backend API规范的ClojureReititnext.jdbc实现
02-05
这个规范定义了创建、读取、更新和删除待办事项的基本操作,以及获取所有待办事项列表等功能。通过遵循这个规范,开发者可以确保他们的API与其他实现兼容,易于集成和测试。 **5. 项目结构与功能** `todo-backend-...
Windows系统调用中API的3环部分
dz45693的专栏
10-22 2679
一、R3环API分析的重要性 Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。 很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。 现在我们使用olldbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现,并根据我们的分析来重写一个ReadProcessMemory。 重写ReadProcessMe...
read函数头文件 window_Windows系统调用中API的3环部分(依据分析重写ReadProcessMemory函数)...
weixin_39605578的博客
12-29 350
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用中API的3环部分一、R3环API分析的重要性Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。现在我们使用olldbg对Re...
内存映射技术-MMIO
最新发布
奔跑的蜗牛的博客
07-11 5718
(Memory mapping I/O)即内存映射I/O,它是PCI规范的一部分,I/O设备被放置在内存空间而不是I/O空间。从处理器的角度看,内存映射I/O后系统设备访问起来和内存一样。这样访问AGP/PCI-E显卡上的帧缓存,BIOS,PCI设备就可以使用读写内存一样的汇编指令完成,简化了程序设计的难度和接口的复杂性。MMIO就是通过将外围设备映射到内存空间,便于CPU的访问。I/O作为CPU和外设交流的一个渠道,主要分为两种,一种是,一种是。
win10驱动开发10——异常处理
qq_41610493的博客
12-05 979
驱动内存异常 ProbeForRead 判断内存是否可读 ProbeForWrite 判断内存是否可写 ExRaiseStatus 指定状态代码触发异常 ExRaiseAccessViolation 触发STATUS_ACCESS_VIOLATION异常(访问异常) ExRaiseDatatypeMisalignment 触发STATUS_DATATYPE_MISALIGNMENT异常(数据类型异常) 注意不要通过触发异常告诉你的调用者你在普通执行状态中的信息,你完全可以返回
Zw 系列函数
huanongying131的博客
11-19 3626
:http://blog.sina.com.cn/s/blog_4a1acc7f0100cfud.html      896  37F 0000D379 ZwAcceptConnectPort         897  380 0000D38E ZwAccessCheck         898  381 0000D3A3 ZwAccessCheckAndAuditAlarm         ...
ProbeForRead()和MmIsAddressValid()
zacklin的专栏
06-12 2801
虽然之前就知道这个两个函数是不同的,但是由于代码功能也没什么异常所以一直没太管。 前段时间扫描程序面对一个使用了新版插件的调试器无法进行内存读取,我一开始以为是被自我保护了,但是看看返回的错误码,并不是获取进程失败,而是读取内存地址不存在。 一步一步跟下来,发现是在校验被读取地址范围的有效性时出了问题,我是用MmIsAddressVaild()做的校验,但是被判断的地址
红蓝对抗----Ring3到Ring0系统调用过程上(Ring3篇)
SHELLCODE_8BIT的博客
09-25 959
这篇文章我们将研究CreateFile是如何从Ring3到Ring0,其中经过了哪些模块,而这些模块又是通过什么技术关联起来的。通过这一篇文章的学习,我们可以更好的了解操作系统内部的调用原理,更能帮助我们深入理解操作系统的各组件的相互调用关系。 为什么学? 如果你想在操作系统上达成以下事情,那么学习这篇文章就是你最好的选择。或者你有下列想法,那么通过举一反三,也是可以做到的。 1.做Hook。Hook可以做的事情非常多,账密拦截,HTTPS拦截。 2.研究和挖掘系统级别漏洞。 3.Rootkit研究
使用Winring0
weixin_43587848的博客
07-16 4739
项目中需要查询CPU温度,所以用到winring0.dll,需要知道自己系统是32位还是64位,然后选择winring032.dll还是winring064.dll. 使用步骤: 1.在项目生成执行文件的目录下放入dll文件(WinRing0x32.dll/WinRing0x64.dll)以及sys文件(WinRing0x32.sys/WinRing0x64.sys) 2.在cpp源文件中包含头文件“OlsApiInit.h”以及“OlsDef.h” 3.工程项目设置为管理员权限:项目右击->项目属性
驱动编程:NtReadVirtualMemory
weixin_30443075的博客
05-18 429
NtReadVirtualMemory函数位于ntdll中,作用就是把用户态的函数调用翻译成相应的系统调用,进入内核态。内核中一般有一个相同名字的处理函数,接收到该类型的系统调用后做实际的工作。 NTSTATUS STDCALL NtReadVirtualMemory(IN HANDLE ProcessHandle, IN PVOID BaseAddr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值