Windows X64关闭内存写保护和打开内存写保护的代码

最新推荐文章于 2022-11-07 15:51:00 发布
最新推荐文章于 2022-11-07 15:51:00 发布
阅读量5.2k 收藏 5
点赞数
分类专栏: Windows


关闭内存写保护的代码:

KIRQL WPOFFx64()
{
  KIRQL irql=KeRaiseIrqlToDpcLevel();
  UINT64 cr0=__readcr0();
  cr0 &= 0xfffffffffffeffff;
  __writecr0(cr0);
  _disable();
  return irql;
}


打开内存写保护的代码:
void WPONx64(KIRQL irql)
{
  UINT64 cr0=__readcr0();
  cr0 |= 0x10000;
  _enable();
  __writecr0(cr0);
  KeLowerIrql(irql);
}

枫★曦
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
32位/64位WINDOWS驱动之突破进程保护CR0方式入只读内存
a756598009的博客
07-08 363
0x400000#define PAGE_READONLY 0x02 只读#define PAGE_READWRITE 0x04 可读可#define PAGE_WRITECOPY 0x08 时复制#define PAGE_EXECUTE 0x10 可执行#define PAGE_EXECUTE_READ 0x20 可读可执行#define PAGE_EXECUTE_READWRITE 0x40 可读可可执行。
内核读只读内存方法总结[Delphi描述]
05-15 1483
作 者: Anskya以下代码均已Delphi描述...至于为什么...首先我是一个Delphi Coder...虽然我大部分时间使用的是ASM编译器和C编译器但是我喜欢Delphi...好了不废话了...已知的三种方法:如果各位有更好的意见欢迎大家提出[1]使内存可读1.stl+cr0:这个方法大家想必经常使用...(参考I-32.3A文档)由于cr0是一个32位寄存器...假设大家的CPU是
X64驱动读内存源码
11-20
X64驱动读内存源码,驱动基于VS2019编,只支持64位,驱动未签名需要自行开启测试模式加载,R3层基于易语言编无模块 编译即可用,所有源码都在压缩包里自行下载即可
学习笔记
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-06 897
1、定义纯汇编的祼函数:   void  __declspec(naked) __stdcall NakeFunction() { __asm { nop ret } }   2、编译器中断指令用于设置INT 3中断 __debugbreak(); KdBreakPoint();   3、内核下修改内存属性 VOID WPOFF() {   U...
x86的控制寄存器CR0,CR1,CR2,CR3
juce的专栏
03-19 9587
状态和控制寄存器组除了EFLAGS、EIP ,还有四个32位的控制寄存器,它们是CR0,CR1,CR2和CR3。 这几个寄存器中保存全局性和任务无关的机器状态。 CR0中包含了6个预定义标志,0位是保护允许位PE(Protedted Enable),用于启动保护模式,如果PE位置1,则保护模式启动,如果PE=0,则在实模式下运行。1位是监控协处理位MP(Moniter coproces
关闭和开启保护
qq_41490873的博客
08-22 1668
KIRQL WPOFF() { KIRQL OldIrql = KeRaiseIrqlToDpcLevel(); //ULONG_PTR 这个类型在x86上是32位 x64就是64位 ULONG_PTR cr0 = __readcr0(); #ifdef _X86_ cr0 &= 0xfffeffff; #else cr0 &= 0xfffffffffffeffff; #endif _disable(); //关闭中断 __writecr0(cr0); //关闭
内核模式下关闭/开启保护(WriteProtect)
輚至消亡
07-12 3177
在内核态下,数据段受到保护,并非可以直接修改,控制保护的就是一个比特位,其位于CR0寄存器的第17位(即索引为16)。 在x86下可以通过内联汇编来修改该位。但是在64位下无法使用内联汇编了。还是有办法可以实现对WP位的控制。 // 关闭CR0控制寄存器内的WP位 KIRQL WriteProtectOff() { KIRQL OldIrql = 0; ULONG_PTR cr0 = 0; // 提升IRQL等级到Dispatch Level OldIrql = KeRaiseIr.
XPE的保护打开关闭
07-04
下面我们将详细探讨如何在XPE系统下打开关闭保护,以及相关的系统日志管理。 一、XPE系统的保护功能 保护的主要目的是确保关键系统文件的完整性,防止病毒、恶意软件或者意外操作导致的系统损坏。在XPE中,...
gflags x86 x64 堆栈溢出内存检测工具
03-20
在x86和x64平台上,gflags的使用方法基本相同,但需要注意的是,x64平台的内存管理机制与x86有所不同,因此在设置堆栈溢出检测时需要考虑这些差异。例如,x64系统通常拥有更大的内存地址空间,这可能需要调整堆栈...
ewfmgr 在win7x64下的EWF保护安装
08-07
在window7下的EWF保护安装。 管理员权限进入cmd,运行 ewfmgr c: -enable 开启对C盘覆盖。 重启计算机,完成。如果要取消保护,可以在运行对话框中输入“ewfmgr C: -commitanddisable”按回车键执行,接着重启即可...
[分享]两种强力读内存的方法(可过某游戏代理商的保护).pdf
08-23
[分享]两种强力读内存的方法(可过某游戏代理商的保护).pdf
c#编USB保护代码
01-04
自己用c#编的Usb保护代码,使用两种不同方法实现,是学习USB访问的好例子。
F30x_F3x0_F403_解除保护.7z
12-21
GD32F330的保护功能是设计用来防止意外的编程或擦除操作,以保护存储在闪存中的代码不被篡改。当MCU处于保护状态时,通常无法通过编程工具进行闪存编程,会收到类似于"Error: Flash Download failed - “Cortex-...
x64驱动 关闭&开启 保护
墨鱼菜鸡
07-06 281
背景 在内核里想要入“别人的”内存(一般指 NTOS 等系统模块的内存空间),需要遵守一个规则 : IRQL和内存保护。 IRQL称为中断请求级别,从0~31 共32个级别内存保护可以打开关闭,如果在内存处于保护状...
linux系统调用拦截Centos7.6(三)の内核调用拦截
新火燎塬的博客
11-07 567
执行rmmod hello 卸载模块。cd /opt/hello 目录。
驱动开发:内核CR3切换读内存
热门推荐
CSDN
09-25 1万+
首先CR3是什么,CR3是一个寄存器,该寄存器内保存有页目录表物理地址(PDBR地址),其实CR3内部存放的就是页目录表的内存基地址,运用CR3切换可实现对特定进程内存地址的强制读操作,此类读属于有痕读,多数驱动保护都会将这个地址改为无效,此时CR3读就失效了,当然如果能找到CR3的正确地址,此方式也是靠谱的一种读机制。至于进程将CR3改掉了读取不到该寄存器该如何处理,这里我找到了一段参考代码,可以实现寻找CR3地址这个功能。结构,查找结构的方法也很简单,依次遍历进程并对比进程名称即可得到。
Win64 驱动内核编程-27.强制读保护内存
天使也掉毛
03-31 1万+
强制读保护内存     某些时候我们需要读别的进程的内存,某些时候别的进程已经对自己的内存做了保护,这里说四个思路(两个R3的,两个R0的)。  方案1(R3):直接修改别人内存 最基本的也最简单的就是直接通过WriteProcessMemory 和 ReadProcessMemory对没有进行保护的程序的内存进行修改,一些单机游戏辅助什么的可能会有这种简单方式修改其他进
Win7 x64切换CR3读内存
qq269813279的博客
06-28 4730
NTSTATUS ReadProcessMemory(HANDLE pid,LONG_PTR buff,LONG_PTR address,SIZE_T len){ PEPROCESS pEPROCESS; NTSTATUS status; ULONG64 OldCr3; ULONG64 NewCr3; status = PsLookupProcessByProcessId(pid, &pE...
从出口数据看中国经济新动能-华福证券.pdf
最新发布
07-21
从出口数据看中国经济新动能-华福证券
C++保护MBR完整代码 Windows
03-21
C++保护MBR的代码主要涉及底层的磁盘读操作,需要使用Windows API来实现。下面是一个简单的示例代码: ```cpp #include #include <Windows.h> int main() { HANDLE hDevice = CreateFile("\\\\.\\...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值