驱动开发:通过内存拷贝读写内存

已于 2023-10-31 15:18:40 修改
阅读量1w 收藏 13
点赞数 1
分类专栏: 《Windows 内核安全编程技术实践》 文章标签: 驱动开发 c语言 微软技术 驱动读写 内核内存拷贝 信息安全
于 2022-09-25 14:18:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyshark_csdn/article/details/127037532
版权

内核中读写内存的方式有很多,典型的读写方式有CR3读写,MDL读写,以及今天要给大家分享的内存拷贝实现读写,拷贝读写的核心是使用MmCopyVirtualMemory这个内核API函数实现,通过调用该函数即可很容易的实现内存的拷贝读写。

MmCopyVirtualMemory是Windows内核中一个非常有用的函数,它可以在用户空间和内核空间之间实现内存数据的拷贝。这个函数通过复制内存页表并更新它们来实现拷贝,从而实现了高效的内存拷贝操作。使用MmCopyVirtualMemory可以省去手动复制内存所需的许多繁琐工作,提高代码效率和稳定性。

封装KeReadProcessMemory()内存读取。KeReadProcessMemory 是 Windows 内核中的一个函数,可用于读取其他进程的内存。其原型如下:

NTSTATUS KeReadProcessMemory(
  PEPROCESS Process,
  PVOID SourceAddress,
  PVOID TargetAddress,
  SIZE_T Size,
  PSIZE_T NumberOfBytesRead
);

参数说明:

  • Process:指定要读取内存的目标进程
  • SourceAddress:源内存地址,要从该地址所在进程中读取数据
  • TargetAddress:目标内存地址,用于存放读取操作得到的数据
  • Size:要读取的数据大小
  • NumberOfBytesRead:实际读取的数据大小,如果读取失败则为 0

使用 KeReadProcessMemory 函数可以使内核模式下的驱动程序读取其他进程的内存数据,例如可以用于获取其他进程的数据结构信息以进行分析和加固等操作。

#include <ntifs.h>
#include <windef.h>
#include <stdlib.h>

NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);
NTKERNELAPI CHAR* PsGetProcessImageFileName(PEPROCESS Process);
NTSTATUS NTAPI MmCopyVirtualMemory(PEPROCESS SourceProcess, PVOID SourceAddress, PEPROCESS TargetProcess, PVOID TargetAddress, SIZE_T BufferSize, KPROCESSOR_MODE PreviousMode, PSIZE_T ReturnSize);

// 定义全局EProcess结构
PEPROCESS Global_Peprocess = NULL;

// 普通Ke内存读取
NTSTATUS KeReadProcessMemory(PVOID SourceAddress, PVOID TargetAddress, SIZE_T Size)
{
	__try
	{
		PEPROCESS TargetProcess = PsGetCurrentProcess();
		SIZE_T Result;
		if (NT_SUCCESS(MmCopyVirtualMemory(Global_Peprocess, SourceAddress, TargetProcess, TargetAddress, Size, KernelMode, &Result)))
			return STATUS_SUCCESS;
		else
			return STATUS_ACCESS_DENIED;
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		return STATUS_ACCESS_DENIED;
	}
	return STATUS_ACCESS_DENIED;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint("Uninstall Driver Is OK \n");
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("hello lyshark \n");

	// 根据PID打开进程
	DWORD PID = 6672;
	NTSTATUS nt = PsLookupProcessByProcessId((HANDLE)PID, &Global_Peprocess);

	DWORD ref_value = 0;

	// 将地址处读取4字节到ref_value中
	NTSTATUS read_nt = KeReadProcessMemory((PVOID)0x0009EDC8, &ref_value, 4);

	DbgPrint("读出数据: %d \n", ref_value);

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

读取效果如下:

封装KeWriteProcessMemory()内存写入。KeWriteProcessMemory() 是Windows内核函数之一,是用于从一个进程向另一个进程写入数据的 API。它主要用于在内核级别上修改另一个进程的内存数据。

常规情况下,为了保障系统的安全和稳定性,Windows操作系统禁止任意进程访问其他进程的内存空间。但是在一些情况下,比如安全软件的监控和维护,或者是一些高级工具的特定功能,需要访问其他进程的内存空间,这时就可以使用KeWriteProcessMemory()等内核API来实现。

#include <ntifs.h>
#include <windef.h>
#include <stdlib.h>

NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process);
NTKERNELAPI CHAR* PsGetProcessImageFileName(PEPROCESS Process);
NTSTATUS NTAPI MmCopyVirtualMemory(PEPROCESS SourceProcess, PVOID SourceAddress, PEPROCESS TargetProcess, PVOID TargetAddress, SIZE_T BufferSize, KPROCESSOR_MODE PreviousMode, PSIZE_T ReturnSize);

// 定义全局EProcess结构
PEPROCESS Global_Peprocess = NULL;


// 普通Ke内存写入
NTSTATUS KeWriteProcessMemory(PVOID SourceAddress, PVOID TargetAddress, SIZE_T Size)
{
	PEPROCESS SourceProcess = PsGetCurrentProcess();
	PEPROCESS TargetProcess = Global_Peprocess;
	SIZE_T Result;

	if (NT_SUCCESS(MmCopyVirtualMemory(SourceProcess, SourceAddress, TargetProcess, TargetAddress, Size, KernelMode, &Result)))
		return STATUS_SUCCESS;
	else
		return STATUS_ACCESS_DENIED;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint("Uninstall Driver Is OK \n");
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("hello lyshark \n");

	// 根据PID打开进程
	DWORD PID = 6672;
	NTSTATUS nt = PsLookupProcessByProcessId((HANDLE)PID, &Global_Peprocess);

	DWORD ref_value = 10;

	// 将地址处写出4字节
	NTSTATUS read_nt = KeWriteProcessMemory((PVOID)0x0009EDC8, &ref_value, 4);

	DbgPrint("写入数据: %d \n", ref_value);

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

写出内存效果:

微软技术分享
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
x64内存读写驱动
03-27
可过tp读写大部分tp游戏
Window系统内存读写API简易阅读笔记---从R3到R0
u011442768的博客
10-23 1688
以前一直都在用Read/WriteProcessMemory这个API读写内存,也没探究过Windows怎么实现的内存读写,这几天就了解了解这一部分。 打开IDA,拖入KernelBase.dll(因为Kernel32.dll中的ReadProcessMemory会调转到KernelBase这里),定位到API。 BOOL __stdcall ReadProcessMemory(HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, SIZE_T
驱动内存读写驱动内存读写
03-18
驱动内存读写驱动内存读写驱动内存读写驱动内存读写
Windows驱动编程基础教程-楚狂人.doc
10-21
版权声明 1 作者信息 1 前言 2 目录 4 第一章 字符串 6 1.1 使用字符串结构 6 1.2 字符串的初始化 7 1.3 字符串的拷贝 8 1.4 字符串的连接 8 1.5 字符串的打印 9 第二章 内存与链表 11 2.1内存的分配与释放 11 2.2 使用LIST_ENTRY 12 2.3 使用长长整型数据 14 2.4使用自旋锁 15 第三章 文件操作 18 3.1 使用OBJECT_ATTRIBUTES 18 3.2 打开和关闭文件 18 3.3 文件的读写操作 21 第四章 操作注册表 25 4.1 注册键的打开操作 25 4.2 注册值的读 26 4.3 注册值的写 29 第五章 时间与定时器 30 5.1 获得当前滴答数 30 5.2 获得当前系统时间 31 5.3 使用定时器 32 第六章 内核线程 35 6.1 使用线程 35 6.2 在线程中睡眠 36 6.3 使用事件通知 37 第七章 驱动与设备 41 7.1 驱动入口与驱动对象 41 7.2 分发函数与卸载函数 41 7.3 设备与符号链接 42 7.4 设备的生成安全性限制 44 7.5 符号链接的用户相关性 46 第八章 处理请求 47 8.1 IRP与IO_STACK_LOCATION 47 8.2 打开与关闭的处理 48 8.3 应用层信息传入 49 8.4 驱动层信息传出 51
嵌入式Linux驱动程序设计从入门到精通.part01.rar
03-11
仅光盘内容,不是书 共九个分卷,放在同一目录下解压 光盘内容介绍 开发环境:RedHat9.0 运行环境:S3C2410处理器 内核版本:linux2.6以上 主要内容: 1) chapters:各章相关的驱动例子代码、相关内核代码 CHA1 第一个驱动与测试程序 CHA2 1 信号量同步 2 阻塞式读写 3 定时器 4 内存映射 5 /proc访问 6 工作队列 CHA3 LED.c LED灯驱动 button.c 键盘驱动 CHA4 Linux内核I2C驱动 CHA5 usb-skeleton.c USB驱动框架 camera Spcaview相关代码 CHA6 skeleton FrameBuffer驱动框架 2410fb.c S3C2410X LCD驱动 CHA7 button.c 输入形式的按键驱动 LED.c 输入形式的LED灯驱动 usbmouse.c 输入形式的USB鼠标驱动 CHA8 demo.c 输入形式的触摸屏驱动 CHA9 简单的块设备驱动 CHA10 Linux内核MMC驱动 CHA11 demo.c 虚拟网络驱动 dm9000.c 移植的DM9000驱动 CHA12 demo S3C2410X红外驱动 IRDA SOCKET 红外SOCKET通信 CHA13 OSS.c OSS应用层代码 ALSA_PLAY.c ALSA播放代码 ALSA_CAPTURE.c ALSA录音代码 2) chip:本书涉及的所有芯片资料、标准文档。 3) Documentation:内核中与驱动相关的文档。 4) Tool:驱动开发交叉编译环境。解压后拷贝到/usr/local/arm/目录,执行: export PATH=/usr/local/arm/3.3.2/bin:$PATH。
驱动读写应用程序内存
吾无法无天的博客
08-26 7471
驱动读写应用程序的内存
读写内存源码(驱动级)
09-30
读写内存驱动级),可直接读取程序(游戏)的内存或OD附加
内存读写驱动的源码(C++)
01-04
内存读写驱动的源码(C++)
利用原神驱动读写内存
11-02
利用原神驱动读写内存demo
驱动 ReadPhysicalMemory 读写 物理内存 参考代码 win7 64
编程论坛
06-11 5668
#pragma warning( disable: 4100 4103 4146 4213)NTSTATUS ReadPhysicalMemory(char *startaddress, UINT_PTR bytestoread, void *output);UINT_PTR KnownPageTableBase = 0;void VirtualAddressToIndexes(QWORD add...
嵌入式Linux驱动程序设计从入门到精通.part02.rar
03-11
共九卷,放在同一目录下解压 光盘内容介绍 开发环境:RedHat9.0 运行环境:S3C2410处理器 内核版本:linux2.6以上 主要内容: 1) chapters:各章相关的驱动例子代码、相关内核代码 CHA1 第一个驱动与测试程序 CHA2 1 信号量同步 2 阻塞式读写 3 定时器 4 内存映射 5 /proc访问 6 工作队列 CHA3 LED.c LED灯驱动 button.c 键盘驱动 CHA4 Linux内核I2C驱动 CHA5 usb-skeleton.c USB驱动框架 camera Spcaview相关代码 CHA6 skeleton FrameBuffer驱动框架 2410fb.c S3C2410X LCD驱动 CHA7 button.c 输入形式的按键驱动 LED.c 输入形式的LED灯驱动 usbmouse.c 输入形式的USB鼠标驱动 CHA8 demo.c 输入形式的触摸屏驱动 CHA9 简单的块设备驱动 CHA10 Linux内核MMC驱动 CHA11 demo.c 虚拟网络驱动 dm9000.c 移植的DM9000驱动 CHA12 demo S3C2410X红外驱动 IRDA SOCKET 红外SOCKET通信 CHA13 OSS.c OSS应用层代码 ALSA_PLAY.c ALSA播放代码 ALSA_CAPTURE.c ALSA录音代码 2) chip:本书涉及的所有芯片资料、标准文档。 3) Documentation:内核中与驱动相关的文档。 4) Tool:驱动开发交叉编译环境。解压后拷贝到/usr/local/arm/目录,执行: export PATH=/usr/local/arm/3.3.2/bin:$PATH。
嵌入式Linux驱动程序设计从入门到精通.part06.rar
03-11
仅光盘内容,不是书 共九个分卷,放在同一目录下解压 光盘内容介绍 开发环境:RedHat9.0 运行环境:S3C2410处理器 内核版本:linux2.6以上 主要内容: 1) chapters:各章相关的驱动例子代码、相关内核代码 CHA1 第一个驱动与测试程序 CHA2 1 信号量同步 2 阻塞式读写 3 定时器 4 内存映射 5 /proc访问 6 工作队列 CHA3 LED.c LED灯驱动 button.c 键盘驱动 CHA4 Linux内核I2C驱动 CHA5 usb-skeleton.c USB驱动框架 camera Spcaview相关代码 CHA6 skeleton FrameBuffer驱动框架 2410fb.c S3C2410X LCD驱动 CHA7 button.c 输入形式的按键驱动 LED.c 输入形式的LED灯驱动 usbmouse.c 输入形式的USB鼠标驱动 CHA8 demo.c 输入形式的触摸屏驱动 CHA9 简单的块设备驱动 CHA10 Linux内核MMC驱动 CHA11 demo.c 虚拟网络驱动 dm9000.c 移植的DM9000驱动 CHA12 demo S3C2410X红外驱动 IRDA SOCKET 红外SOCKET通信 CHA13 OSS.c OSS应用层代码 ALSA_PLAY.c ALSA播放代码 ALSA_CAPTURE.c ALSA录音代码 2) chip:本书涉及的所有芯片资料、标准文档。 3) Documentation:内核中与驱动相关的文档。 4) Tool:驱动开发交叉编译环境。解压后拷贝到/usr/local/arm/目录,执行: export PATH=/usr/local/arm/3.3.2/bin:$PATH。
驱动读写内存
02-10
驱动读写内存 
驱动内存读写.ec
07-25
cf的制作必用的 的辅助模块 等下再发皮肤模块 这个是cf
内存读写驱动
04-28
内存读写驱动C源码与绝地求生C++辅助源码,可以通过辅助与驱动的结合实现透视效果。
X64驱动读写内存源码
11-20
X64驱动读写内存源码,驱动基于VS2019编写,只支持64位,驱动未签名需要自行开启测试模式加载,R3层基于易语言编写无模块 编译即可用,所有源码都在压缩包里自行下载即可
jd内存读写驱动操作源码
02-03
绝地求生 驱动读写 会的自然懂 c语言 最新驱动源码 调用sys 就可以进行软件保护进程 需要的下载
易语言驱动读写内存模块源码-易语言
06-13
易语言驱动读写内存模块源码
易语言驱动读写内存源码,易语言驱动读写内存模块
07-18
易语言驱动读写内存模块源码,驱动读写内存模块,加载驱动_,卸载驱动_,与驱动程序通信_,键码转换,CreateServiceA,OpenServiceA,StartServiceA,CloseServiceHandle,CreateFileA,ControlService,OpenSCManagerA,DeleteService,取指针_字节集,DeviceIoControl,
std::map拷贝
最新发布
07-29
回答: 根据引用\[1\]和引用\[2\]的内容,可以看出std::map是C++标准库中的一个容器,它提供了一种键值对的映射关系。在引用\[2\]中,展示了如何使用std::copy函数将一个std::map容器中的元素拷贝到另一个std::map容器中。具体来说,通过使用std::copy函数和map_back_inserter函数,可以将一个std::map容器中的键值对元素拷贝到另一个std::map容器中。这样可以实现std::map的拷贝操作。引用\[3\]中提到了在不同编译环境下,std::copy函数和std::inserter函数的性能差异,这可能是由于不同编译器的实现方式不同导致的。总之,通过使用std::copy函数和map_back_inserter函数,可以实现std::map的拷贝操作。 #### 引用[.reference_title] - *1* *2* *3* [std::map 中调用 std::copy 的方法](https://blog.csdn.net/hzhxxx/article/details/6286513)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值