关闭和开启写保护

最新推荐文章于 2022-11-07 15:51:00 发布
最新推荐文章于 2022-11-07 15:51:00 发布
阅读量1.6k 收藏
点赞数 1
分类专栏: 内核安全编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/108163291
版权 
KIRQL WPOFF()
{
	KIRQL OldIrql = KeRaiseIrqlToDpcLevel();

	//ULONG_PTR 这个类型在x86上是32位  x64就是64位
	ULONG_PTR cr0 = __readcr0();  
#ifdef _X86_
	cr0 &= 0xfffeffff;
#else
	cr0 &= 0xfffffffffffeffff;
#endif
	_disable();	//关闭中断
	__writecr0(cr0);			//关闭写保护位

	return OldIrql;
}


VOID WPON(KIRQL irql)
{

	ULONG_PTR cr0 = __readcr0();
	cr0 |= 0x10000;
	__writecr0(cr0);	//恢复写保护位
	_enable();	//恢复中断

	KeLowerIrql(irql);
}
qq_857305819
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
X64驱动读内存源码
11-20
X64驱动读内存源码,驱动基于VS2019编,只支持64位,驱动未签名需要自行开启测试模式加载,R3层基于易语言编无模块 编译即可用,所有源码都在压缩包里自行下载即可
XPE的保护的打开和关闭
07-04
在XPE中,打开保护可以阻止任何尝试更改系统分区的行为,这对于公共终端或者自助服务设备尤其重要,因为这些设备通常需要保持固定且不可变的操作状态。 1. 打开保护 要打开XPE的保护,通常需要通过管理员权限...
Windows X64关闭内存保护和打开内存保护的代码
wing的专栏
03-20 5223
 关闭内存保护的代码: KIRQL WPOFFx64() {   KIRQL irql=KeRaiseIrqlToDpcLevel();   UINT64 cr0=__readcr0();   cr0 &= 0xfffffffffffeffff;   __writecr0(cr0);   _disable();   return irql; } 打开内存保护
内核模式下关闭/开启保护(WriteProtect)
輚至消亡
07-12 3177
在内核态下,数据段受到保护,并非可以直接修改,控制保护的就是一个比特位,其位于CR0寄存器的第17位(即索引为16)。 在x86下可以通过内联汇编来修改该位。但是在64位下无法使用内联汇编了。还是有办法可以实现对WP位的控制。 // 关闭CR0控制寄存器内的WPKIRQL WriteProtectOff() { KIRQL OldIrql = 0; ULONG_PTR cr0 = 0; // 提升IRQL等级到Dispatch Level OldIrql = KeRaiseIr.
x64驱动 关闭&开启 保护
墨鱼菜鸡
07-06 280
背景 在内核里想要入“别人的”内存(一般指 NTOS 等系统模块的内存空间),需要遵守一个规则 : IRQL和内存保护。 IRQL称为中断请求级别,从0~31 共32个级别内存保护可以打开和关闭,如果在内存处于保护状...
linux系统调用拦截Centos7.6(三)の内核调用拦截
新火燎塬的博客
11-07 567
执行rmmod hello 卸载模块。cd /opt/hello 目录。
TCBSD保护设置.docx
04-30
TCBSD,全称为TwinCAT BSD,是一种将TwinCAT ...用户应根据实际需求适时开启关闭该功能,并了解如何管理保护例外,以实现对系统的有效控制。在使用过程中,建议定期更新软件版本,以获取最新的安全补丁和功能改进。
金邦U盘保护故障的修复
01-20
6. 插拔后,打开U盘,发现内部有一个名为“UFDUtility”的文件,这表明保护问题已成功解决,现在可以正常进行文件创建、拷贝和格式化操作。 通过以上步骤,我们不仅了解了如何识别U盘的硬件信息,还学习了如何...
长虹刷机升级数据LED55860IV2.06修复不开机问题保护关闭telnet
最新发布
01-12
针对"长虹刷机升级数据LED55860IV2.06修复不开机问题保护关闭telnet"这一主题,我们可以深入探讨以下几个关键知识点: 1. **智能电视固件**:LED55860IV2.06是长虹电视的一个特定型号及其对应的固件版本。固件...
驱动开发:内核CR3切换读内存
热门推荐
CSDN
09-25 1万+
首先CR3是什么,CR3是一个寄存器,该寄存器内保存有页目录表物理地址(PDBR地址),其实CR3内部存放的就是页目录表的内存基地址,运用CR3切换可实现对特定进程内存地址的强制读操作,此类读属于有痕读,多数驱动保护都会将这个地址改为无效,此时CR3读就失效了,当然如果能找到CR3的正确地址,此方式也是靠谱的一种读机制。至于进程将CR3改掉了读取不到该寄存器该如何处理,这里我找到了一段参考代码,可以实现寻找CR3地址这个功能。结构,查找结构的方法也很简单,依次遍历进程并对比进程名称即可得到。
linux系统下文件过滤驱动开发(越过内核内存保护)
kafetom的博客
05-19 1881
linux 越过内核内存保护方法归纳,目前在工作中遇到的问题及解决方法,供大家参考。 在做文件过滤驱动模块功能时,分别基于X86_64架构 amd64操作系统 和 基于aarch64架构 arm64操作系统上开发实现,在hook内核的函数功能时,遇到内核内存保护阻止替换函数地址的问题。公司响应国家推行国产化操作系统进程号召,所以是在 统信uos个人版操作系统上开发实施的: Linux uos-PC 5.4.50-amd64-desktop #73 SMP Mon Aug 24 15:42:54 CST
Linux页缓存、LinuxVFS中文件打开、读、底层逻辑
喜欢打篮球的普通人
03-30 1548
文章目录一、页缓存二、LinuxVFS之文件打开、读、逻辑 一、页缓存 二、LinuxVFS之文件打开、读、逻辑 参考:一文看懂 | 什么是页缓存(Page Cache)、Linux虚拟文件系统剖析: 文件打开、读、逻辑 ...
Linux内核系统调用劫持之kallsyms
bin_linux96的专栏
01-19 1560
1.通过kallsyms方式 基于Linux 5.0/Linux5.3 的X86-64系统. 1. 通过kallsyms_lookup_name查找sys_call_table地址. 2. 关闭保护 3. 修改sys_call_table Linux5.0上直接调用write_cr0接口,能够顺利的修改CR0寄存器,而内核版本更新到Linux5.3以后,发现对CR0的修改进行了保护,所...
Rootkit与后门隐藏技术
weixin_30279315的博客
08-15 579
目录 简介 linux虚拟文件系统VFS rootkit的功能 隐藏文件 基本方法 高级方法 系统调用流程 hook sys_getdents sys_getdents的调用树 最底层的方法 ...
Linux4.19-通过IDT获取sys_call_table实现系统调用劫持
CalvinXu
05-09 1888
上一篇博客了如何获取IDT地址,这里将接着上一篇博客继续,如果还不清楚如何获取IDT可以看一下我的上一篇博客:Linux4.19-获取IDT地址:https://blog.csdn.net/qq_41208289/article/details/106012230 这里再次声明一下,博主的系统为目前最新版本的Debian10,Linux4.19内核(32位x86机器) 前言 网上的绝大部分博客对于获取sys_call_table的方法在目前的内核中都已经失效,Linux大概从4.8开始加入了保
Linux内核读取文件流程源码及阻塞点超详解
weixin_33725270的博客
01-30 681
以linux内核3.13版本为例,首先内核通过系统调用read(),执行sys_read()函数,在文件linux/fs/read_write.c中://linux/fs/read_write.c SYSCALL_DEFINE3(read, unsigned int, fd, char __user *, buf, size_t, count) { struct fd f = fdget...
Linux Rootkit躲避内核检测
Netfilter
05-16 4942
Rootkit在登堂入室并得手后,还要记得把门锁上。 如果我们想注入一个Rootkit到内核,同时不想被侦测到,那么我们需要做的是精妙的隐藏,并保持低调静悄悄,这个话题我已经谈过了,诸如进程摘链,TCP链接摘链潜伏等等,详情参见: https://blog.csdn.net/dog250/article/details/105371830 https://blog.csdn.net/dog250/...
linux文件读保护,Linux Rootkit实现文件保护
weixin_29623481的博客
04-29 300
一个非常基础的rootkit,禁止读取指定文件编译系统:CentOS 7uname -r3.10.0-957.21.3-el7.x86_64#include #include #include asmlinkage long(*real_open)(const char __user *filename, int flags, unsigned short mode);unsigned long ...
磁盘保护怎么去掉保护
03-28
1. 检查磁盘开关:一些磁盘有一个物理开关,在开关打开的情况下,磁盘会被保护。将开关关闭即可。 2. 注册表编辑器:打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值