WriteCopy

最新推荐文章于 2022-07-20 11:38:42 发布
最新推荐文章于 2022-07-20 11:38:42 发布
阅读量583 收藏 1
点赞数
分类专栏: 驱动编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/105139343
版权

在自己的进程进程中hookMessagebox 为什么对别的进程没有影响呢
因为自己进程的meaagebox和其他进程的其实是在一个物理页中的。
这个内存在pte中是只读的。
当运行hook代码时,(这时需要把hook的代码写到messagebox的指定地方,用到了写这个权限,而pte是只读的)会触发异常,cpu就会去检查进程的vad (位于进程结构体的+11c处,是一个二叉树),如果属性是writecopy,就会申请一个新的物理页,把hook的代码给复制过去。
这样我们hook的代码就不在原来的messagebox的地方,别的进程运行时,不会对他有影响。
如果我们想通过这个api监控所有的进程,就需要绕过这个writecopy

WriteCopy是如何触发的

内存的属性有两种:一种是PTE 一种是vad (内核中记录一个应用程序4GB 内存的分配情况,哪些内存被分配了。具体的属性是什么 read write writecopy). vad 在进程结构体的+11c处,是一个二叉树结构。

 dt _EPROCESS 89f38758   //通过这个指令扎到vadroot的值  然后使用下面的指令
 !vad 0x89f497d0

start和end是以页为单位的。

在这里插入图片描述

在这里插入图片描述

当访问内存pte出问题时(比如页属性是只读的,然后我去写这个内存),cpu就会触发异常,去找vad里面的属性,如果是readonly的,返回c005内存访问错误。如果是writecopy,cpu就会分配一个新的物理页,把要写的那块代码复制到新的物理页中。

在这里插入图片描述

绕过写拷贝的两种方法

  1. 申请一个新的线性地址,新的pte 。和要hook的地方指向同一个物理页
  2. 直接修改pte的属性为可读可写,就不会触发异常,也就不会触发写拷贝了。 试试监控代码写进入后可以把PTE属性修改回来吗?

项目:

qq_857305819
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
9.写拷贝
Mikasys的博客
10-31 881
0x9 写拷贝(WriteCopy) 一、什么是写拷贝? HOOK了这个Dll某个函数,其他进程受影响吗? 答:不受影响!因为有写拷贝! 写拷贝由操作系统执行 二、低2G的VAD二叉树(记录了哪些线性地址被占用或被占用) 使用命令查看vad的地址 level //二叉树的级别 start //因为单位为4KB,再加3个0即为真正线性地址 commit //若为Private(VirtualAlloc申请)为私有,自己独享 READWRITE //可读可写 READONLY //只读
Swift的Copy on Write 简称CoW
VictorZhang
11-14 460
其中方法用于检测当时实例对象是否有引用,如果没有,则发生copy on writevar data: [YourDataType] // 替换 YourDataType 为你需要存储的类型if!
copy-on-write 写时复制
0X011954
05-23 2671
最近在读一些关于虚拟化的论文,里面大都提到了一个copy-on-write的技术。 Copy-on-Write 简单来说是,复制一个对象时,不是真正的在内存中开辟一块新的地址,将原来的对象复制到新地址,而是在新对象的内存映射表(Translation Table)中指向同原对象相同的位置,并且把那块内存的copy-on-write位设置为1,在对这个对象执行读操作的时候,内存数据没有变动,直接执
PAGE_EXECUTE_WRITECOPY As Anti-Debug Trick
Linhanshi Blog
09-29 879
http://waleedassar.blogspot.com/2012/09/pageexecutewritecopy-as-anti-debug-trick.html
(15)[驱动开发]过写拷贝
qq_50332504的博客
07-20 467
写拷贝是一种内存权限,是3环用的使用查看内存权限。什么是写拷贝,就是你要往里面修改数据的时候,就会拷贝一份内容放入另一个内存且自己独占,并修改独占的内存,不会直接修改原来的内存大概就是我不喜欢流水线大批量生产的东西,于是我自己定制了一份只有自己能用的.........
[转](40)写拷贝
weixin_41875267的博客
11-19 228
一、什么是写拷贝 写拷贝是VAD树里的属性。当访问一个线性地址,页表项 PTE = 0 时,就会触发缺页异常,跳转到异常处理函数,处理函数会检查VAD树,看看这个线性地址到底是没挂物理页,还是写拷贝,或者是别的什么情况。 举个例子,在Windows XP系统里,MessageBoxA 这个函数位于 ntdll.dll,假如我想HOOK它,比如把它头两个字节的 MOV EDI,EDI 改成JMP,此时由于 PTE = 0,就会触发缺页异常。然后异常处理函数遍历 VAD 树,就会发现 Me...
PHP中copy on write写时复制机制介绍
01-20
什么是写时复制(Copy On Write)? 答:在复制一个对象的时候并不是真正的把原先的对象复制到内存的另外一个位置上,而是在新对象的内存映射表中设置一个指针,指向源对象的位置,并把那块内存的Copy-On-Write位...
作为初学者,我是如何认识写时拷贝(copy-on-write)——Windows内存管理
weixin_43742894的博客
04-27 810
《Windows核心编程》学习笔记:内存管理重要内容:Copy-On-Writecopy-on-write为什么需要写时拷贝?实现原理:详细写入过程实现代码: 为什么需要写时拷贝? Windows支持一种机制,允许俩个或俩个以上的进程共享同一块存储器。 一方面会极大地提升系统的性能;另一方面,这也要求所有的应用程序实例只能读取其中的数据或是执行其中的代码,一个程序实例修改并写入一个存储页时,就...
详谈Linux写时拷贝技术(copy-on-write)必看篇
09-15
Linux中的写时拷贝(Copy-On-Write, COW)技术是一种高效且节省资源的内存管理策略,尤其在处理进程创建如`fork()`时显得尤为重要。COW的基本思想是在数据未被修改前,多个进程可以共享同一份数据的物理副本,从而...
写时拷贝(copy on write)
NICOC_的博客
07-21 1051
写时拷贝和传统深拷贝的区别:深拷贝是,每创建一个对象,则开辟一块空间,不管读写 而写时拷贝是用一块空间count计数指向同一块空间指针的数量。 如果只读不写,则只需要开辟一次空间。效率很高,内存占用的也少,如果指向同一块空间的指针需要 修改其内容,则该指针会自己开辟一块空间用于修改,不会影响原来的空间。 写时拷贝有两种方法 ————————————————————————————————
Windows内存中page的copy on write Memo
weixin_30755709的博客
04-10 117
Windows中内存page的copy on write属性非常有用。他保证了如果一个应用程序的多个实例被启动,或是一个dll被多个启动的应用程序同时使用时,全局和静态变量不会受到污染。大致原理就是:应 用程序启动多个实例,这多个进程的地址空间中,应用程序部分地址空间对应到physical storage上,都是一份(memory map的)。所以,如果一个实例尝试修改一个全局或静态变量时,如果...
Copy-On-Write 机制
菜鸟修仙记
08-08 1665
“写时复制”——要写的时候复制一份副本,往副本里面写,然后引用到这个副本,在引用到这个副本之前有读操作的话,读的还是之前的老版本,读写分离,写不影响读可以并发读读,读写,但是写写的时候还是冲突的,如果拷贝了N个副本,最后到底引用谁呢,引用某个副本,写到其他副本上的数据就丢失了,所以写要加锁,也就是一个一个来,串行写。 Java集合框架里采用CopyOnWrite 机制的就两个类, 当然我们...
copy-on-write的解读
hongsedezise的博客
12-28 527
copyonwrite:对一个东西修改时候,不是在原来的容器中修改,而是通过复制一个新的容器,把内容复制到新的容器中,并加以修改,保存后再替换到原来的容器中,这就保证了编辑时候其他的人员可以继续看到原来的文章,但是编辑中复制的容器要加锁,复制一份容器,这是一个读写分离的一种思想,读写时候的容器不同。在jdk1.5后实现了两个copyonwrite的机制的并发容器,CopyOnWriteArrayL
通过写时拷贝实现String类
JoJoJo1234的博客
07-21 182
今天看到剑指offer上的一道题: 如下为类型CMyString的声明,请你为该类型添加赋值运算符函数 class CMyString { public: CMyString(char * pData = NULL); CMyString(const CMyString & str); ~CMyString(void); private: ...
写时拷贝/写时复制技术
weixin_54355176的博客
07-01 827
深拷贝与浅拷贝,计数,写时拷贝
全面介绍Windows内存管理机制及C++内存分配实例
zhujunwsk的专栏
09-08 2849
(一):进程空间   本文背景: 在编程中,很多Windows或C++的内存函数不知道有什么区别,更别谈有效使用;根本的原因是,没有清楚的理解操作系统的内存管理机制,本文企图通过简单的总结描述,结合实例来阐明这个机制。 本文目的: 对Windows内存管理机制了解清楚,有效的利用C++内存函数管理和使用内存。 1.      进程地址空间 1.1地址空间 ·        32|
java集合-CopyWrite系列
piaoslowly的专栏
08-21 1260
java集合-CopyOnWrite系列 Copy-On-Write简称COW,是一种用于程序设计中的优化策略。其基本思路是,从一开始大家都在共享同一个内容,当某个人想要修改这个内容的时候,才会真正把内容Copy出去形成一个新的内容然后再改,这是一种延时懒惰策略。 什么是CopyOnWrite CopyOnWrite容器即写时复制的容器。通俗的理解是当我们往一个容器添加元素的时候,不直接...
VirtualProtect导致程序crash的问题。
ADF1230的专栏
10-23 2837
VirtualProtect函数用于改变内存页面的存取属性 : #define PAGE_NOACCESS 0x01 #define PAGE_READONLY 0x02 #define PAGE_READWRITE 0x04 #define PAGE_WRITECOPY 0x08
write data copy ddr
最新发布
02-06
数据复制DDR是一种将数据从一个位置复制到另一个位置的过程。在这个过程中,通常使用DDR(双数据速率)技术来提高数据传输速度。首先,需要确定要复制的数据的来源位置和目标位置。然后,通过编程或使用特定软件来实现数据复制的操作。在进行数据复制时,需要确保数据的完整性和准确性,以防止数据丢失或损坏。此外,还需要考虑数据复制的速度和效率,以便在最短的时间内完成复制过程。 数据复制DDR通常用于在不同的存储设备之间进行数据传输,例如从硬盘驱动器到固态硬盘,或者从一个计算机到另一个计算机。在进行数据复制时,需要考虑数据的大小和类型,以选择合适的数据传输方式和工具。此外,还需要确保目标设备有足够的存储空间来容纳复制的数据。 在企业和个人使用中,数据复制DDR通常用于数据备份、数据迁移和数据共享等方面。通过数据复制DDR,可以确保数据的安全性和可靠性,同时也能提高数据传输的速度和效率。因此,数据复制DDR在现代信息技术领域中扮演着重要的角色,为数据管理和数据传输提供了便利和保障。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值