驱动读写(只有读)

最新推荐文章于 2023-06-30 07:30:50 发布
最新推荐文章于 2023-06-30 07:30:50 发布
阅读量4.6k 收藏 14
点赞数 3
分类专栏: 驱动入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/88931000
版权

这里是参考链接

https://www.bilibili.com/video/av26193169?t=992&p=19

这篇博客是根据 这个 教程写的

然后 大佬 说了一个函数 感觉挺有必要注意的

	if (!MmIsAddressValid(DbgDir))
		break;

这样判断内存是否可用 其实是不对的 

这个内存 只会判断 这个地址是否有效  而 我们读入的内存是r3层的

如果 这个 内存 转换进了 物理层 而出现了缺页  

那么 这个函数 判断不出来  结果会让我们 蓝屏 

正确的应该这样写

__try
			{	 
				ProbeForRead((processbaseaddr+offset),sizeof(readcode),1);
				RtlCopyMemory((PVOID)readcode, (PVOID)(processbaseaddr + offset), sizeof(readcode));

			}
			__except (1)
			{
				DbgPrint("Memory is error\n");
			}

这样就能看这个内存可读不可读了

然后整体代码就是

#include<ntifs.h>
#include<windef.h>

NTKERNELAPI
PVOID
PsGetProcessSectionBaseAddress(
__in PEPROCESS Process
);

BYTE        readcode[4] = {0};

ULONG       offset = 0x10;

VOID        MyProcessNotift(HANDLE ParentId,HANDLE ProcessId,BOOLEAN Create)
{
	if (Create&&ProcessId!=4&&ProcessId!=0)
	{
		PEPROCESS tempEp = NULL;
		NTSTATUS  status = STATUS_SUCCESS;
		PUCHAR    processbaseaddr = NULL;
		KAPC_STATE  temp_stack = { 0 };
		status = PsLookupProcessByProcessId(ProcessId,&tempEp);
		if (tempEp)
		{
			ObDereferenceObject(tempEp);
			processbaseaddr = (PUCHAR)PsGetProcessSectionBaseAddress(tempEp);

			if (!processbaseaddr)
			{
				DbgPrint("get  process addr file!\n");
				return;
			}
			RtlZeroMemory(readcode, sizeof(readcode));

			KeStackAttachProcess(tempEp, &temp_stack);
			__try
			{	 
				ProbeForRead((processbaseaddr+offset),sizeof(readcode),1);
				RtlCopyMemory((PVOID)readcode, (PVOID)(processbaseaddr + offset), sizeof(readcode));

			}
			__except (1)
			{
				DbgPrint("Memory is error\n");
			}
			KeUnstackDetachProcess(&temp_stack);
			for (int i = 0; i < sizeof(readcode); i++)
			{ 
				DbgPrint("read %x", readcode[i]);
			}
			return;
		}

	}



}

VOID        Unload(PDRIVER_OBJECT driver)
{  

	PsSetCreateProcessNotifyRoutine(MyProcessNotift, TRUE);
	DbgPrint("Unload\n");
}

NTSTATUS      DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
	NTSTATUS   status = STATUS_SUCCESS;
	status = PsSetCreateProcessNotifyRoutine(MyProcessNotift, FALSE);
	driver->DriverUnload = Unload;
	if (!NT_SUCCESS(status))
	{
		DbgPrint("creat processNotify Failed\n");
	}
	return STATUS_SUCCESS;
}

我们获取的是 基地址 也就是   400010

我们来看一下

在这里 就能看的出来 

然后我们看一下  内存读出的结果

正确读出。。。

pipixia233333
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
驱动读写游戏支持个大TP
08-14
支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏支持个大TP游戏
Windows内核基础之进程
tutucoo
12-07 814
1. 进程结构体EPROCESS 每个运行中的进程在Windows内核中都有一个EPROCESS的结构体,这个结构体包含了进程所有重要的信息。 在WinDbg中使用指令dt _EPROCESS可以查看进程结构体的所有成员。 nt!_EPROCESS +0x000 Pcb : _KPROCESS +0x098 ProcessLock : _EX_PUS...
驱动中给进程注入DLL,模拟GlobaHook,不完整,某些情况下报错
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
01-22 3245
利用 PsSetLoadImageNotifyRoutine 设置回调,等有镜像被加载的时候,根据进程PID获取基址,然后和镜像基址对比, 如果相同,则加载的是进程EXE的镜像,这个时候通过修改镜像头中的导入表 来注入DLL。 修改导入表部分的代码,是修改的MS的detours库来的。 经过测试大部分进程注入都没问题,碰到一些比较特殊的进程运行的时候会报错,请教高手。。。 一下是核心代码:
线程的创建过程
weixin_30916125的博客
07-16 517
由于这两天在研究调试机制,所以记录下被调试线程的创建过程,如果哪里有遗漏,以后会再补充 线程创建过程分为两部分:    第一部分:CreateThread->NtCreateThread->PspCreateThread->KeInitThread->KiInitializeContextThread->KiThreadStartUp    ...
在应用层调试驱动程序 vgk.sys
pureman_mega的博客
11-18 1704
***以下记录如何在应用层调试驱动程序vgk.sys,以及调试过程中获得的一些数据。 1,如何让vgk.sys 在应用层跑起来? vgk.sys 是某游戏反作弊程序的一部分,是一个驱动文件;本文调试的vgk.sys 版本是1.0.0.3,64位。正常情况下,驱动程序需要在ring0环境中运行。但是vgk.sys 经过混淆虚拟化处理了,windbg双机调试/交互会很慢。之前在其他论坛上有人提起:可以在ring3调试驱动文件。于是,我就试了试。 首先,看一下驱动程序和普通程序文件之间的相同点与不同点(大.
驱动开发:内核读写内存浮点数
CSDN
05-30 1万+
将其转换为浮点数,通过此方法即可实现字节集到浮点数的转换,而决定是单精度还是双精度则只是一个字节集长度问题,这段读写代码实现原理如下所示;此处只用于演示核心原理,如果想要实现不报错,该代码中的传值操作应在应用层进行,而传入参数也应改为字节类型即可。读写,本章将在如前所述的读写函数进一步封装,并以此来实现驱动读写内存浮点数的目的。浮点数的目的,实现原理是通过取BYTE类型的前4或者8字节的数据,并通过。的实现,因为浮点数本质上也可以看作是一个字节集,对于。函数依次循环字节集列表即可实现写出字节集的目的;
易语言x64驱动读写(可读写有保护游戏内存数据)-稳定
hzw320的博客
02-12 1万+
现在市场上一个可以取 有保护的游戏的驱动读写插件,价格在1000元/每月 为了帮助独立团论坛的用户节省金钱,我们开发了这款易语言模块。 这次的驱动读写可以读写测试了TX很多个游戏(CF,逆战,LOL,DNF)的内存数据, 大家都知道Tx的游戏是都有TP保护的 一般的内存读写方式都不能读写数据, 而我们这款可以轻松读写数据不被检测, 下面是功能的演示视频: CF测试: 在各系统中进行驱动保护的教程 (监视进程阻止启动,暂停,注入,保护进程不被结束,内存无..
写了一个读写驱动(源码)
热门推荐
吾无法无天的博客
08-28 1万+
一个驱动读写,Win10 x64和Win 7x64都测试过,没问题
驱动开发:内核物理内存寻址读写
Gefangenes的博客
06-30 982
这种方式的优点是它能够更快地访问内存,因为它避免了虚拟内存管理的开销,通过直接读写物理内存,驱动程序可以绕过虚拟内存的保护机制,获得对系统中内存的更高级别的访问权限。需要注意的是,该代码并没有进行有效性检查,如没有检查取的地址是否合法、取的数据是否在用户空间,因此存在潜在的风险。需要注意的是,该函数还会进行一些错误处理,例如在取页表项时,如果该项没有被设置为有效,函数将返回0,表示无法访问对应的物理地址。字段包含了进程的页表树的根节点的物理地址,通过它可以找到进程的页表树,从而实现虚拟内存的管理。
驱动开发:通过内存拷贝读写内存
CSDN
09-25 1万+
内核中读写内存的方式有很多,典型的读写方式有CR3读写,MDL读写,以及今天要给大家分享的内存拷贝实现读写,拷贝读写的核心是使用`MmCopyVirtualMemory`这个内核API函数实现,通过调用该函数即可很容易的实现内存的拷贝读写。 MmCopyVirtualMemory是Windows内核中一个非常有用的函数,它可以在用户空间和内核空间之间实现内存数据的拷贝。这个函数通过复制内存页表并更新它们来实现拷贝,从而实现了高效的内存拷贝操作。使用MmCopyVirtualMemory可以省去手动复制内存
驱动读写模块(永不非法)
10-17
永远不非法的驱动读写模块。不蓝屏,支持所有系统!包括64位 可读写T X旗下所有游戏,其它游戏也可以正常读写
X64位最新读写驱动 win10 win7 可用
02-28
1 安装驱动() 2 驱动.初始化(目标进程ID) 注意: //========== 1 安装驱动的时候,火绒会报提示,信任即可 2 32位系统无法使用 3 亲测win10 1809可用,win7可用
内存READWRITE_读写驱动_读写_驱动_驱动读写_驱动内存
09-10
驱动读写进程内存,能够取高地址的所有字节,能够写入高地址的所有字节
SD卡驱动程序 基于ISP通信模式
12-08
驱动取自MEGA32工程,...PS:内部只有初始化SD卡和读写一块的驱动代码,唯一ID之类都是多余的,浪费ROM;我的产品挂了znFAT文件系统(有识别容量程序,所以SD驱动里没写)已经正常使用。所以别说代码不全就不给星星
基于ST32F103C8T6单片机I2C接口读写加密芯片SHA204A例程源码+开发板参考设计原理图+手册及设计文档资料.zip
最新发布
04-26
基于ST32F103C8T6单片机I2C接口读写加密芯片SHA204A例程源码+开发板参考设计原理图+手册及设计文档资料, 芯片型号:ATSHA204a 封装:三脚 (VCC GND SDA),单总线通讯方式 加密流程: 首先我们ATSHA204A芯片的...
stm32 F103+RFID-RC522模块 基于stm32实现简单卡写卡demo
03-02
注意:只有验证成功的扇区,才能对此扇区进行读写操作! 另外:不知为何,3区块的密钥A单片机取出来是全00,手机是全ff 一、先用手机软件NFC Writer取空卡看看内容 1、打开软件和NFC(ps:我的手机是小米10) ...
德卡卡器说明
01-18
RD600演示程序中的自动测卡功能仅供参考,不是判断卡型的唯一标准,因为在测卡时的是特征字节,而卡的特征字节有可能因卡的生产商不同而有所不同,当测卡不准时,请手动选卡型号。 3 验证密码问题 接触式卡器...
彩虹UDA软件狗工具带硬复制工具
11-23
如果您仍旧使用原有的 DI/DJ/DK 驱动程序、模块及工具,在 DOS 、 Windows 9X/NT/2000 下对 RC-DL 只能做操作,写操作将失败。如果您不想改动已发行的软件,而还要使用 RC-DL 型软件狗,只升级驱动程序也可以,但...
用 ZwAllocateVirtualMemory 来申请内存
qq_41071646的博客
01-06 4740
用ZwOpenProcess ZwAllocateVirtualMemory 这两个函数 申请内存  #include &lt;ntddk.h&gt; //ZwAllocateVirtualMemory(hProcess,&amp;AllocateAddress,0,&amp;RegionSize,MEM_COMMIT,PAGE_EXECUTE_READWRITE); NTSTATUS ZwA...
at24c16驱动程序
05-13
AT24C16是一种串行EEPROM存储器芯片,它被广泛应用于各种电子设备中,如计算机、音频设备等。 要编写AT24C16的驱动程序,我们需要利用芯片的...只有在深入理解芯片工作原理的基础上,才能编写出高效、稳定的驱动程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值