驱动开发:内核MDL读写进程内存

已于 2023-10-31 15:08:04 修改
阅读量1w 收藏 22
点赞数 3
分类专栏: 《Windows 内核安全编程技术实践》 文章标签: 驱动开发 c++ c语言 windows 微软技术 MDL内存读写
于 2022-10-14 13:10:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyshark_csdn/article/details/127318532
版权

MDL(Memory Descriptor List)是Windows操作系统中的一个数据结构,用于描述和管理内存页的信息。该数据结构由一系列描述内存页的元素组成,每个元素称为一个MDL条目(MDL Entry)。每个MDL条目记录了一个内存页的物理地址和相关信息,多个MDL条目可以组成一个链表,以便描述一段连续的或非连续的内存区域。

内存读写是最常用的一种读写模式,通常需要附加到指定进程空间内然后调用内存拷贝得到对端内存中的数据,在调用结束后再将其空间释放掉,通过这种方式实现内存读写操作,此种模式的读写操作也是最推荐使用的相比于CR3切换来说,此方式更稳定并不会受寄存器的影响。

MDL读取内存步骤

在使用MDL进行内存读取时,可以通过MmProbeAndLockPages函数将目标内存页面锁定到物理内存,并将其映射到驱动程序的虚拟地址空间中。然后,使用MmMapLockedPagesSpecifyCache函数将锁定的页面映射到驱动程序的虚拟地址空间中,以便进行读取操作。完成后,您可以使用MmUnmapLockedPages函数取消映射,并使用MmUnlockPages函数解锁页面。

下面是对每个步骤的进一步解释:

  • 调用PsLookupProcessByProcessId:用于根据进程ID获取对应的进程结构体指针。通过进程ID可以找到目标进程的EPROCESS结构,从而可以获取有关进程的各种信息。

  • 调用KeStackAttachProcess:用于将当前线程附加到目标进程的上下文中,使得当前线程在执行时具有目标进程的上下文环境。这样可以访问目标进程的虚拟地址空间,包括其内存页。

  • 调用ProbeForRead:用于检查指定的内存区域是否可读取。在访问其他进程的内存之前,需要先验证目标内存区域是否有效和可访问,以防止访问非法内存。

  • 拷贝内存空间中的数据:在经过前面的验证后,可以使用内存拷贝操作(如memcpy或RtlCopyMemory)将目标进程的内存数据复制到驱动程序的缓冲区中。这样驱动程序就可以读取或处理目标进程的内存数据。

  • 调用KeUnstackDetachProcess:函数用于解除当前线程与目标进程的绑定,恢复当前线程的上下文环境。在完成对目标进程的操作后,需要解除绑定,以确保当前线程的执行环境恢复到原始状态。

  • 最后调用ObDereferenceObject:这个函数用于减少对象的引用计数。在使用完目标进程的EPROCESS结构后,需要减少对该对象的引用计数,以便系统在不再使用时可以正确地释放内存资源。

代码总结起来应该是如下样子,用户传入一个结构体,输出对应长度的字节数据:

#include <ntifs.h>
#include <windef.h>

typedef struct
{
	DWORD pid;                // 要读写的进程ID
	DWORD64 address;          // 要读写的地址
	DWORD size;               // 读写长度
	BYTE* data;               // 要读写的数据
}ReadMemoryStruct;

// MDL读内存
BOOL MDLReadMemory(ReadMemoryStruct* data)
{
	BOOL bRet = TRUE;
	PEPROCESS process = NULL;

	PsLookupProcessByProcessId(data->pid, &process);

	if (process == NULL)
	{
		return FALSE;
	}

	BYTE* GetData;
	__try
	{
		GetData = ExAllocatePool(PagedPool, data->size);
	}
	__except (1)
	{
		return FALSE;
	}

	KAPC_STATE stack = { 0 };
	KeStackAttachProcess(process, &stack);

	__try
	{
		ProbeForRead(data->address, data->size, 1);
		RtlCopyMemory(GetData, data->address, data->size);
	}
	__except (1)
	{
		bRet = FALSE;
	}

	ObDereferenceObject(process);
	KeUnstackDetachProcess(&stack);
	RtlCopyMemory(data->data, GetData, data->size);
	ExFreePool(GetData);
	return bRet;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint(("Uninstall Driver Is OK \n"));
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint(("hello lyshark \n"));

	ReadMemoryStruct ptr;

	ptr.pid = 6672;
	ptr.address = 0x402c00;
	ptr.size = 100;

	// 分配空间接收数据
	ptr.data = ExAllocatePool(PagedPool, ptr.size);

	// 读内存
	MDLReadMemory(&ptr);

	// 输出数据
	for (size_t i = 0; i < 100; i++)
	{
		DbgPrint("%x \n", ptr.data[i]);
	}

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

读取内存地址0x402c00效果如下所示:

MDL写入内存步骤

在使用MDL进行内存写入时,可以使用MmProbeAndLockPages函数将目标内存页面锁定到物理内存,并将其映射到驱动程序的虚拟地址空间中。然后,您可以在映射的地址上执行写入操作。完成后使用MmUnmapLockedPages函数取消映射,并使用MmUnlockPages函数解锁页面。

MDL写入数据预读取基本保持一致,只是在第五步增加了三个函数,其他的与读取保持一致。

  • 调用MmMapLockedPages:这个函数用于将MDL锁定的内存页面映射到系统空间中的虚拟地址,以便可以进行写入操作。通过映射页面,可以获取指向内存数据的指针,从而进行修改或写入操作。

  • 调用RtlCopyMemory:这个函数用于在驱动程序的缓冲区和映射的内存页面之间进行内存拷贝操作。通过这个操作,将数据从驱动程序的缓冲区复制到映射的内存页面中,实现数据的写入。

  • 调用IoFreeMdl:这个函数用于释放先前创建的MDL(内存描述符列表)。在完成对映射页面的写入操作后,需要释放相应的MDL,以便系统可以正确管理内存资源。

写入时与读取类似,只是多了锁定页面和解锁操作。

#include <ntifs.h>
#include <windef.h>

typedef struct
{
	DWORD pid;                // 要读写的进程ID
	DWORD64 address;          // 要读写的地址
	DWORD size;               // 读写长度
	BYTE* data;               // 要读写的数据
}ReadMemoryStruct;

// MDL写内存
BOOL MDLWriteMemory(ReadMemoryStruct* data)
{
	BOOL bRet = TRUE;
	PEPROCESS process = NULL;

	PsLookupProcessByProcessId(data->pid, &process);
	if (process == NULL)
	{
		return FALSE;
	}

	BYTE* GetData;
	__try
	{
		GetData = ExAllocatePool(PagedPool, data->size);
	}
	__except (1)
	{
		return FALSE;
	}

	for (int i = 0; i < data->size; i++)
	{
		GetData[i] = data->data[i];
	}

	KAPC_STATE stack = { 0 };
	KeStackAttachProcess(process, &stack);

	PMDL mdl = IoAllocateMdl(data->address, data->size, 0, 0, NULL);
	if (mdl == NULL)
	{
		return FALSE;
	}

	MmBuildMdlForNonPagedPool(mdl);

	BYTE* ChangeData = NULL;

	__try
	{
		ChangeData = MmMapLockedPages(mdl, KernelMode);
		RtlCopyMemory(ChangeData, GetData, data->size);
	}
	__except (1)
	{
		bRet = FALSE;
		goto END;
	}

END:
	IoFreeMdl(mdl);
	ExFreePool(GetData);
	KeUnstackDetachProcess(&stack);
	ObDereferenceObject(process);

	return bRet;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint(("Uninstall Driver Is OK \n"));
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint(("hello lyshark \n"));

	ReadMemoryStruct ptr;

	ptr.pid = 6672;
	ptr.address = 0x402c00;
	ptr.size = 5;

	// 需要写入的数据
	ptr.data = ExAllocatePool(PagedPool, ptr.size);

	// 循环设置
	for (size_t i = 0; i < 5; i++)
	{
		ptr.data[i] = 0x90;
	}

	// 写内存
	MDLWriteMemory(&ptr);

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

写出效果如下:

微软技术分享
关注
  • 3
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动内存读写驱动内存读写
03-18
驱动内存读写驱动内存读写驱动内存读写驱动内存读写
GoMDL:使用MDL的Hugo主题
05-16
GoMDL 使用MDL的Hugo主题。 屏幕截图 桌面 移动的 列表显示 帖子查看 演示版 如何制作演示 按照Hugo的创建一个新站点。 将此仓库克隆到您的themes目录。 将exampleSite中的文件复制到站点目录,然后删除或重命名默认的config.toml 。 hugo server 配置( config.toml ) baseURL : " http://xugr.me/GoMDL " relativeURLS : true canonifyURLs : false title : " Cerulean " theme : " GoMDL " permalinks : post : /post/:year/:month/:title/ page : /:filename/ taxonomies : tag : " tags " preserveTaxo
驱动使用 MDL 方式读写内存
LYSM
06-24 6436
背景 通常,我们在内核中修改内存的时候,都是通过修改 CR0 寄存器,关闭内存写保护属性,然后再写入内存的方式来修改内存。我个人不喜欢这种方式,因为总感觉我们使用没有线程接口函数的方法,总感觉不太稳定,而且,在 64 位程序下,CR0 方式不再适用了。 所以,我强烈推荐在内核下使用 MDL 方式来修改内存,在 32 位内核和 64 位内核下同样有效。 实现过程 内存描述符列表 (MDL) 是一个系统定义的结构,通过一系列物理地址描述缓冲区。MDL的全称是 Memory Descriptor List,即内存
内存READWRITE_读写驱动_读写_驱动_驱动读写_驱动内存
09-10
驱动读写进程内存,能够读取高地址的所有字节,能够写入高地址的所有字节
Windows驱动开发(一) MDL驱动读写
qq_33789853的博客
03-10 1871
使用MDL驱动读写应该是最常见的读写内存方式 不多说 直接上代码 typedef struct TongL_Process { ULONG pid; //进程ID ULONG64 Address; //内存地址 ULONG64 buf; //缓冲区指针 ULONG Size; //内存大小 }TongL_PROCESS, * PTongL_PROCESS; 读: PTongL_PROCESS pInputData = (PTongL_
3.3 Windows驱动开发内核MDL读写进程内存
最新发布
CSDN
11-16 4713
MDL内存读写是一种通过创建MDL结构体来实现跨进程内存读写的方式。在Windows操作系统中,每个进程都有自己独立的虚拟地址空间,不同进程之间的内存空间是隔离的。因此,要在一个进程中读取或写入另一个进程内存数据,需要先将目标进程的物理内存映射到当前进程的虚拟地址空间中,然后才能进行内存读写操作。MDL结构体是Windows内核中专门用于描述物理内存的数据结构,它包含了一系列的数据元素,包括物理地址、长度、内存映射的虚拟地址等信息。
使用MDL读写内存的SSDT HOOK
kernweak的博客
05-30 2238
X64下有patchguard,所以先讨论x86的 思路 首先找到函数地址,如果是导出函数,可以使用MmGetSystemRoutineAddress,如果未导出加载符号通过特征码 实现新新函数替换原函数 恢复函数 关于系统从应用层进入内核,xp前是int2e,之后32位是sysenter,64是syscall https://bbs.pediy.com/thread-226254.h...
驱动开发:通过内存拷贝读写内存
热门推荐
CSDN
09-25 1万+
内核读写内存的方式有很多,典型的读写方式有CR3读写MDL读写,以及今天要给大家分享的内存拷贝实现读写,拷贝读写的核心是使用`MmCopyVirtualMemory`这个内核API函数实现,通过调用该函数即可很容易的实现内存的拷贝读写。 MmCopyVirtualMemory是Windows内核中一个非常有用的函数,它可以在用户空间和内核空间之间实现内存数据的拷贝。这个函数通过复制内存页表并更新它们来实现拷贝,从而实现了高效的内存拷贝操作。使用MmCopyVirtualMemory可以省去手动复制内存
初步认识MDL
chenyujing1234的专栏
12-17 1万+
一、 内存描述符列表 (MDL) 是一个系统定义的结构,通过一系列物理地址描述缓冲区。执行直接 I/O 的驱动程序从 I/O 管理器接收一个 MDL 的指针,并通过 MDL 读写数据。一些驱动程序在执行直接 I/O 来满足设备 I/O 控制请求时也使用 MDL驱动程序编写人员不应该假设 MDL 描述的内存页的顺序或内容。驱动程序不得依赖于 MDL 指向的任何位置的数据值,并且不应该直接取消
驱动开发:通过MDL映射实现多次通信
CSDN
04-29 9100
在前几篇文章中`LyShark`通过多种方式实现了驱动程序与应用层之间的通信,这其中就包括了通过运用`SystemBuf`缓冲区通信,运用`ReadFile`读写通信,运用`PIPE`管道通信,以及运用`ASYNC`反向通信,这些通信方式在应对`一收一发`模式的时候效率极高,但往往我们需要实现一次性吐出多种数据,例如ARK工具中当我们枚举内核模块时,往往应用层例程中可以返回几条甚至是几十条结果,如下案例所示,这对于开发一款ARK反内核工具是必须要有的功能。
material-ghost:基于MDL构建的Ghost博客平台主题
05-17
材料 Material是基于Material Design美学的最小化,快速响应并受其影响,它是基于的。 主题是准备好Ghost0.6.x。 忠实于材料设计,主要字体是Roboto。 图标提供的其他图标。 什么是新的? 始终运行最新版本的Material。 您可以在那里预览所有新功能。 发行版 有关发行详细信息,请参见。 版本 发布日期 1.0 2015-08-08 版权和许可 版权所有(c)2015 Sean Russell-根据The Apache License发布。 谢谢 感谢为主题提供Material的基础。
LIS2MDL驱动文件
01-17
之前使用STM32的硬件IIC(基于HAL库)调试了ST的LIS2MDL磁力计,现将写的驱动文件分享给有需要的同学。
MdlInfo:Simulink MDL 文件的 Windows 资源管理器工具提示:描述 MDL 文件内容的 Shell 扩展(使用 Real-Time Workshop 和 Stateflow 创建)-matlab开发
06-01
默认情况下,当您将鼠标悬停在 MDL 文件图标上时,Windows 资源管理器中显示的工具提示仅显示“Simulink 模型文件”。 在 MDL 文件包含 Simulink 库的情况下,这是一种误导。 使用此外壳扩展名,Windows 资源管理器可区分这两种类型的文件,并且还包括描述字段(如果文件包含一个)。 从 MDL 文件中提取描述的代码是使用 Real-Time Workshop 从 Stateflow 图生成的。 包含图表的模型包括在内。 提供了源代码,包括一个 Visual Studio 2005 项目。 Real-Time Workshop 安装中的一些头文件是必需的,如果您的 MATLAB 安装位置与我的位置不同,则可能需要编辑项目文件。 它已经在 Windows XP 上使用 Microsoft Visual Studio 2005 进行了测试。在运行时,该扩展独立于
驱动内核打开进程
09-27
驱动内核打开进程.驱动内核打开进程.驱动内核打开进程.
Windows内核安全驱动开发(随书光盘)
08-02
第6章 64位和32位内核开发差异 88 6.1 64位系统新增机制 88 6.1.1 WOW64子系统 88 6.1.2 PatchGuard技术 91 6.1.3 64位驱动的编译、安装与运行 91 6.2 编程差异 92 6.2.1 汇编嵌入变化 92 6.2.2 预处理与条件...
negativeclipper.mdl:负剪刀-matlab开发
06-01
这个电路处理负面的cippers。
MDLParser:MDL文件的解析器
05-06
MDLParser 这是我编写的用于分析和操作MDL文件的简单库。 MDL是一种文件格式,用于存储Warcraft 3通常使用的3D模型文件。但是,标准的Warcraft 3模型采用MDX格式,即MDL的二值化版本。 为了进行转换,您可以使用以下...
通过使用 Smith 预测器和 ADRC:Simulink mdl 文件进行 pH 建模来控制 pH 中和,-matlab开发
05-30
大多数 pH 控制过程固有地具有高非线性和不确定性,具有大的时间延迟,因此无法通过传统的 PI 控制进行充分控制。 在我们的学期项目中,将介绍使用切换 ADRC 和 Smith Predictor 的 pH 中和过程控制方法。
Windows内核安全与驱动开发光盘源码
07-11
第6章 64位和32位内核开发差异 88 6.1 64位系统新增机制 88 6.1.1 WOW64子系统 88 6.1.2 PatchGuard技术 91 6.1.3 64位驱动的编译、安装与运行 91 6.2 编程差异 92 6.2.1 汇编嵌入变化 92 6.2.2 预处理与条件...
new MDL 驱动开发
07-28
回答: 在驱动开发中,如果需要构建一个新的内存描述符列表(MDL),来表示已有MDL描述的缓冲区的一部分,可以使用IoBuildPartialMdl函数。\[2\]这个函数可以帮助开发人员在驱动程序中实现直接读写操作。此外,如果你对Windows驱动开发有兴趣,可以参考《Windows驱动开发技术详解》这本书。这本书分为入门篇、进阶篇、实用篇和提高篇,可以帮助你系统地学习驱动开发的知识。\[3\]在驱动开发过程中,建议先快速阅读基础篇,然后认真阅读和实践进阶篇的内容,最后可以将提高篇作为复习和综合练习的材料。如果你需要相关的源码和DDK build版本的驱动代码,可以在资源中找到。 #### 引用[.reference_title] - *1* *2* *3* [《Windows驱动开发技术详解》学习笔记](https://blog.csdn.net/Sagittarius_Warrior/article/details/87193389)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值