如何写windows系统已保护的内存区域

最新推荐文章于 2021-08-06 02:37:22 发布
最新推荐文章于 2021-08-06 02:37:22 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: windows底层核心編程 vcbcbdelphi的window编程 文章标签: windows struct permissions system hook 杀毒软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2599952
版权 
windows系统在某些版本下对某些内存区域启用了写保护的功能,因为这些区域一般合法程序是不可能修改其内容的,那么我们如何来写这些内存呢?

PS:1) 这些系统包括:windows xp与windows 2003
   2) CPU提供写保护的功能是从486开始的
   3) 一般合法程序不包括杀毒软件,因为他们在Hook SSDT中是直接改ServiceTableBase,而没有用inline的方法
   
我们就用SSDT做例子吧,在Hook SSDT时不用innline hook方法,我们就要修改SSDT这个系统服务描述表;而这个表是被写保护了,在ring0下也是没有写的权限。

方法一:
首先我们来看一下CR0寄存器的格式
|31|30|       |18|17|16|          5|4|3|2|0|1|
|P |C |       |A |  |W |          N|E|T|E|M|P|
|G |D |       |M |  |P |          E|T|S|M|P|E|

我们主要注意这个WP这位,其他的请参考IA-32 Volume 3A;
WP——Write Protect,当设置为1时只提供读页权限
PE——Paging,当设置为1时提供分页
MP——Protection Enable,当设置为1时进入保护模式
所以我们只要把WP这一位设置为0时,就可以修改SSDT了

 //1 关闭写保护
 __asm
 {
  push eax
  mov  eax, CR0
  and  eax, 0FFFEFFFFh
  mov  CR0, eax
  pop  eax
 }

 //2 打开写保护
 __asm
 {
  push eax
  mov  eax, CR0
  or   eax, NOT 0FFFEFFFFh
  mov  CR0, eax
  pop  eax
 }
通过上面的第一组指令我们就可以正常修改SSDT,记得修改后要还原。


方法二:
此方法是盖茨提供的,在内存描述表(MDL)中描述一块内存区域,MDL包含此内存区域的起始地址,拥有者进程,字节数量以及标志。
//在ddk中的描述
typedef struct _MDL {
    struct _MDL *Next;
    CSHORT Size;
    CSHORT MdlFlags;
    struct _EPROCESS *Process;
    PVOID MappedSystemVa;
    PVOID StartVa;
    ULONG ByteCount;
    ULONG ByteOffset;
} MDL, *PMDL;
#define MDL_MAPPED_TO_SYSTEM_VA     0x0001
#define MDL_PAGES_LOCKED            0x0002
#define MDL_SOURCE_IS_NONPAGED_POOL 0x0004
#define MDL_ALLOCATED_FIXED_SIZE    0x0008
#define MDL_PARTIAL                 0x0010
#define MDL_PARTIAL_HAS_BEEN_MAPPED 0x0020
#define MDL_IO_PAGE_READ            0x0040
#define MDL_WRITE_OPERATION         0x0080
#define MDL_PARENT_MAPPED_SYSTEM_VA 0x0100
#define MDL_LOCK_HELD               0x0200
#define MDL_PHYSICAL_VIEW           0x0400
#define MDL_IO_SPACE                0x0800
#define MDL_NETWORK_HEADER          0x1000
#define MDL_MAPPING_CAN_FAIL        0x2000
#define MDL_ALLOCATED_MUST_SUCCEED  0x4000


// Declarations

#pragma pack(1)

typedef struct ServiceDescriptorEntry {

        unsigned int *ServiceTableBase;

        unsigned int *ServiceCounterTableBase;

        unsigned int NumberOfServices;

        unsigned char *ParamTableBase;

} SSDT;

#pragma pack()

__declspec(dllimport) SSDTKeServiceDescriptorTable;

PMDL  g_pmdlSystemCall;
PVOID *MappedSystemCallTable;

// save old system call locations
// Map the memory into our domain to change the permissions on
// the MDL
g_pmdlSystemCall = MmCreateMdl(NULL,
                   KeServiceDescriptorTable.ServiceTableBase,
                   KeServiceDescriptorTable.NumberOfServices*4);

if(!g_pmdlSystemCall)
   return STATUS_UNSUCCESSFUL;

MmBuildMdlForNonPagedPool(g_pmdlSystemCall);

// Change the flags of the MDL
g_pmdlSystemCall->MdlFlags = g_pmdlSystemCall->MdlFlags |
                             MDL_MAPPED_TO_SYSTEM_VA;

MappedSystemCallTable = MmMapLockedPages(g_pmdlSystemCall, KernelMode);



MappedSystemCallTable就是SSDT的地址,现在可以放心的操作它吧!用完了最好MmFreePagesFromMdl。
iiprogram
关注
专栏目录
Windows影子保护系统 EWF,断电保护
10-10
Windows的影子保护系统,全称为Enhanced Write Filter(EWF),是一种强大的系统保护机制,主要目的是为了防止对系统磁盘的非预期修改。在EWF的保护下,任何对系统分区(如C盘)的更改都不会永久保存,一旦系统重启...
关于MDL的一些事情
zacklin的专栏
04-16 5286
微软的文档里对MDL的描述感觉语焉不详,这两天在找工作的间隙逆向+黑盒测试了一下MmBuildMdlForNonPagedPool,把得到的一些理解描述下来。 一.MDL数据结构     MDL是用来建立一块虚拟地址空间与物理页面之间的映射,结构定义如下:     [cpp] view plaincopy typedef struct _MDL {    struc
服务器修复分区,存储空间保护分区如何修复进行分区扩展?
weixin_36091268的博客
08-06 875
是的,所以找了一台其他Windows服务器进行挂载成功,并将数据拷贝出来重建VMDK磁盘文件在加载到最初的Windows服务器中使用。所以我想知道存储空间保护分区 id号?能否告知??EFI 系统分区:c12a7328-f81f-11d2-ba4b-00a0c93ec93b基本数据分区:ebd0a0a2-b9e5-4433-87c0-68b6b72699c7Microsoft 保留分区:e3c9e...
windows下多进程通信,基于共享内存环形队列实现
zy5757的博客
08-27 1260
使用方式非常简单,需要的进程初始化类调用InitializeLock函数传入相同的字符串即可。可以多个进程使用PushString(),入缓冲区,只允许一个进程进行调用PopString()读取,读取方面没有保护锁,非线程安全。构造函数与析构函数看起来似乎不严谨,但不影响使用,有不对的地方望大牛提供指点。 测试代码用于获取通信所需的时间 进程读取缓冲区代码 1 #include "
windows平台下的进程内存修改
rm_wang的博客
07-25 3759
介绍如何实现windows平台下修改其他进程的地址空间
WindowsCE的虚拟内存模型.pdf
最新发布
03-21
6. 虚拟内存保护Windows CE 的虚拟内存保护是通过 MMU 来实现的,提供了内存保护机制,防止进程访问非法内存区域。 7. 进程虚拟地址空间:每个进程在 Windows CE 中都有一个 32MB 的虚拟地址空间, Slot 2 到 ...
Windows操作系统虚拟内存管理_刘海军
09-22
### Windows操作系统虚拟内存管理 #### 一、虚拟内存技术的重要性及原理 随着计算机技术的快速发展,软件对硬件资源的需求日益增长。为了提升系统的性能,仅仅依赖增加物理内存的方法会导致硬件成本显著上升。虚拟...
Windows操作系统应用资料.ppt
11-16
三、认识Windows系统 Windows操作系统启动后,首先呈现给用户的是桌面。桌面是用户操作的主要界面,由图标和任务栏两大部分组成。图标代表了各种应用程序、文件或设备,用户可以通过单击、双击进行交互。任务栏则...
Win64 驱动内核编程-27.强制读保护内存
zz_strive_2012的专栏
12-10 1485
强制读保护内存 某些时候我们需要读别的进程的内存,某些时候别的进程已经对自己的内存做了保护,这里说四个思路(两个R3的,两个R0的)。 方案1(R3):直接修改别人内存 最基本的也最简单的就是直接通过WriteProcessMemory 和 ReadProcessMemory对没有进行保护的程序的内存进行修改,一些单机游戏辅助什么的可能会有这种简单方式修改其他进程内存。 方案2(R3...
第13章 Windows内存体系结构
chenyijun的专栏
03-04 748
https://www.cnblogs.com/5iedu/p/4846223.htmlWindows核心编程http://www.cnblogs.com/5iedu/category/699744.html13.1 Windows的虚拟地址空间安排13.1.1虚拟地址空间的分区(即虚拟地址空间布局) 进程的地址空间划分分区x86 32位Windows3GB用户模式下的x8632位WindowsX...
尝试读取或入受保护内存
aa657426877的博客
06-10 973
尝试读取或入受保护内存。这通常指示其他内存已损坏。(System.Data) Sql server2012连接Sql server2008时出现的问题:已成功与服务器建立连接,但在登陆过程中发生错误。(provider:SSLProvider,error:0-接收到的消息异常,或格式不正确。) 以前连接是正常的,突然数据库连不上。 错误消息如下: 1.尝试读取或...
C/C++:程序的内存分配方式
12-11 856
  1.内存分配方式  内存分配方式有三种:  [1]从静态存储区域分配。内存在程序编译的时候就已经分配好,这块内存在程序的整个运行期间都存在。例如全局变量,static变量。  [2]在栈上创建。在执行函数时,函数内局部变量的存储单元都可以在栈上创建,函数执行结束时这些存储单元自动被释放。栈内存分配运算内置于处理器的指令集中,效率很高,但是分配的内存容量有限。  [3]从
如何删除GPT保护分区
lionzl的专栏
01-28 5376
如何删除GPT保护分区 (2012-08-21 20:28:33) 标签: 杂谈 分类:技术文章 我刚在我的系统上连接了一个内置或外置硬盘,“磁盘管理”程序提示说它是使用 GPT保护分区准备的。我无法重新分区或重新格式化硬盘...如何才能解决此问题?  什么是 GPT 磁盘?  GUID 分区表 (GPT) 作为可扩展
windows 分区的介绍及保护数据安全
weixin_33901641的博客
10-19 287
什么是FAT分区?FAT也就是FAT16分区,我们以前用的DOS、Windows95都使用FAT16文件系统,现在常用的Windows 98/2000/xp等系统均支持FAT16文件系统。它最大可以管理大到2GB的分区,但每个分区最多只能有65525个簇(簇是磁盘空间的配置单位)。随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。 什么是FA...
win10下使内存修改可用与关闭windows defender
a504325677的博客
03-29 4541
win10下修改游戏常常会遇到修改器打不开或者一修改内存就出错的问题,实际上是因为win10系统设置默认执行数据保护造成的。 比如轩辕剑系列的箭情内存修改器、至愚修改器都会有这样的问题。 为了备忘,现在记录解决办法。右键计算机->属性->高级系统设置->高级->性能->设置->数据执行保护->为除下列选定程序之外的所有程序和服务启用DEP->添加。 顺便记录win10打开和关
Windows X64关闭内存保护和打开内存保护的代码
wing的专栏
03-20 5250
 关闭内存保护的代码: KIRQL WPOFFx64() {   KIRQL irql=KeRaiseIrqlToDpcLevel();   UINT64 cr0=__readcr0();   cr0 &= 0xfffffffffffeffff;   __writecr0(cr0);   _disable();   return irql; } 打开内存保护
内核钩子学习
bcbobo21cn的专栏
05-10 877
如何建立内核级钩子控制操作系统实现程序隐身 我们知道,应用程序总是离不开系统内核所提供的服务,比如它要使用内存的时候,只要跟操作系统申请就行了,而不用自己操心哪里有空闲的内存空间等问题,实际上,这些问题是由操作系统的内核来代劳的。站在黑客的角度讲,如果能够控制内核,实际上就是控制了内核之上的各种应用程序。本文将向您介绍如何建立内核级钩子来控制操作系统向上提供的各种低级功能。有了内核级钩子,我们不但能够控制、监视其他程序并过滤有关数据,还能用其实现Rootkit本身及其它程序的隐形。 本文首先回顾系统调用
Windows操作系统内存管理详解
"Windows内存管理涉及DOS时代的内存安排、80386处理器的内存寻址机制以及Windows操作系统如何管理内存,特别是分页和分段技术的应用。...了解这些知识点对于理解和解决Windows系统中的内存问题至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值