java 内核驱动_简单的内核模式驱动程序

最新推荐文章于 2022-09-25 14:18:55 发布
最新推荐文章于 2022-09-25 14:18:55 发布
阅读量149 收藏
点赞数
文章标签: java 内核驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32757449/article/details/114783865
版权

我正在创建简单的内核模式驱动程序(空项目)来尝试一些

在用户模式应用程序上读/写内存操作 .

我在编译项目时遇到错误在这些方面:

NTSTATUS NTAPI MmCopyVirtualMemory(PEPROCESS SourceProcess, PVOID

SourceAddress, PEPROCESS TargetProcess, PVOID TargetAddress, SIZE_T

BufferSize, KPROCESSOR_MODE PreviousMode, PSIZE_T ReturnSize);

NTSTATUS PsLookupProcessByProcessId(_In_ HANDLE ProcessId, _Outptr_

PEPROCESS *Process);

KernelWPM(Process, &Writeval, 0x010F29B0, sizeof(__int32));

VS编译错误:

Severity Code Description Project File Line Suppression State

Error C2371 'PEPROCESS': redefinition; different basic types INR

C:\Program Files (x86)\Windows Kits\10\Include\10.0.16299.0\km\ntifs.h 85

Warning C4022 'GetProcessByID': pointer mismatch for actual parameter 1

INR C:\Users\NAKEDRAT\Desktop\INR\INR\main.c 62

Error C2371 'PETHREAD': redefinition; different basic types INR

C:\Program Files (x86)\Windows Kits\10\Include\10.0.16299.0\km\ntifs.h 86

Warning C4047 'function': 'PEPROCESS' differs in levels of indirection

from 'PEPROCESS **' INR C:\Users\NAKEDRAT\Desktop\INR\INR\main.c 62

Warning C4024 'GetProcessByID': different types for formal and actual

parameter 2 INR C:\Users\NAKEDRAT\Desktop\INR\INR\main.c 62

Warning C4047 'function': 'PEPROCESS' differs in levels of indirection

from 'PEPROCESS *' INR C:\Users\NAKEDRAT\Desktop\INR\INR\main.c 64

Warning C4024 'KernelWPM': different types for formal and actual parameter

1 INR C:\Users\NAKEDRAT\Desktop\INR\INR\main.c 64

Warning C4022 'KernelWPM': pointer mismatch for actual parameter 3 INR

C:\Users\NAKEDRAT\Desktop\INR\INR\main.c 64

这是我的代码:也使用相同的SDK和WDK版本

#include

#include

#include

DRIVER_INITIALIZE DriverEntry;

#pragma alloc_text(INIT, DriverEntry)

NTSTATUS NTAPI MmCopyVirtualMemory(PEPROCESS SourceProcess, PVOID

SourceAddress, PEPROCESS TargetProcess, PVOID TargetAddress, SIZE_T

BufferSize, KPROCESSOR_MODE PreviousMode, PSIZE_T ReturnSize);

NTSTATUS PsLookupProcessByProcessId(_In_ HANDLE ProcessId, _Outptr_

PEPROCESS *Process);

NTSTATUS KernelRPM(PEPROCESS Process, PVOID SourceAddress, PVOID

TargetAddress, SIZE_T Size)

{

PEPROCESS SourceProcess = Process;

PEPROCESS TargetProcess = PsGetCurrentProcess();

SIZE_T Result;

if (NT_SUCCESS(MmCopyVirtualMemory(SourceProcess, SourceAddress,

TargetProcess, TargetAddress, Size, KernelMode, &Result)))

return STATUS_SUCCESS;

else

return STATUS_ACCESS_DENIED;

}

NTSTATUS KernelWPM(PEPROCESS Process, PVOID SourceAddress, PVOID

TargetAddress, SIZE_T Size)

{

PEPROCESS SourceProcess = PsGetCurrentProcess();

PEPROCESS TargetProcess = Process;

SIZE_T Result;

if (NT_SUCCESS(MmCopyVirtualMemory(SourceProcess, SourceAddress,

TargetProcess, TargetAddress, Size, KernelMode, &Result)))

return STATUS_SUCCESS;

else

return STATUS_ACCESS_DENIED;

}

NTSTATUS DriverEntry(_In_ struct _DRIVER_OBJECT *DriverObject, _In_

PUNICODE_STRING RegistryPath)

{

int Writeval = 666;

PEPROCESS *Process;

GetProcessByID(4872, &Process);

KernelWPM(Process, &Writeval, 0x010F29B0, sizeof(__int32));

DbgPrint("Value of int i: %d", Writeval);

return STATUS_SUCCESS;

}

我究竟做错了什么?我怎么能改进,有什么建议吗?谢谢 .

周周复年年
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
读写内存源码(驱动级)
09-30
读写内存(驱动级),可直接读取程序(游戏)的内存或OD附加
驱动中 fltKernel.h报 EPROCESS和PETHREAD重定义异常解决办法
iceamber2012的专栏
04-23 2830
 驱动编写中经常会莫名出现 error C2371: 'PEPROCESS' : redefinition; different basic types  重引用需要在ntdll.h前面引用ntifs.h,而fltKernel里面引用了ntifs.h,所以把flt这货放到最前面,在后面装载ntddk即可
2021-10-24
m0_60415672的博客
10-24 81
控制过度会使系统发生震荡? 控制需要定性,也需要定量 信息熵:度量一个信息源能够提供多少新的信息 PID、模糊控制、神经元控制、综合控制等都属于自动调节系统, 凡事具备控制思想和调节方法的都是自动调节系统,而放置最核心的调节方法的叫做调节器 基本的调节器具有两个输入量,被调量和设定量 被调量:反映被调节对象的实际波动的量值 设定量:是人们希望被调量达到的量值 基本的调节器至少有一个量值输出 输入偏差,输出指令 辅助量:自动指令、偏差报警等 P是比例,是输入偏差乘以一个系数 I是积分,对输入偏差进行积分运算
驱动开发:通过内存拷贝读写内存
热门推荐
CSDN
09-25 1万+
内核中读写内存的方式有很多,典型的读写方式有CR3读写,MDL读写,以及今天要给大家分享的内存拷贝实现读写,拷贝读写的核心是使用`MmCopyVirtualMemory`这个内核API函数实现,通过调用该函数即可很容易的实现内存的拷贝读写。 MmCopyVirtualMemory是Windows内核中一个非常有用的函数,它可以在用户空间和内核空间之间实现内存数据的拷贝。这个函数通过复制内存页表并更新它们来实现拷贝,从而实现了高效的内存拷贝操作。使用MmCopyVirtualMemory可以省去手动复制内存
Window系统内存读写API简易阅读笔记---从R3到R0
u011442768的博客
10-23 1711
以前一直都在用Read/WriteProcessMemory这个API读写内存,也没探究过Windows怎么实现的内存读写,这几天就了解了解这一部分。 打开IDA,拖入KernelBase.dll(因为Kernel32.dll中的ReadProcessMemory会调转到KernelBase这里),定位到API。 BOOL __stdcall ReadProcessMemory(HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, SIZE_T
Android平台非标准硬件设备驱动程序设计
01-19
Android系统是Google推出的基于Linux内核Java架构的操作系统,在很短的时间内已成为主流的手机操作系统,并已逐步扩展应用到嵌入式系统、平板电脑和上网本上。它既有Linux系统所具有的硬件平台可移植性,也因使用...
基于内核态JVM的Linux设备驱动程序 (2008年)
05-26
驱动程序的不稳定是造成操作系统内核崩溃的主要原因,该文采用类型安全的Java语言开发Linux设备驱动程序以提高系统的稳定性,并分析驱动模型的结构、内核Java虚拟机(JVM)的设计以及Java驱动程序的编写。...
linux驱动分析和内核分析.zip
最新发布
02-14
包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【项目质量】: 所有源码都经过严格测试,可以直接运行。 功能在确认正常工作后才上传。 【适用人群】...
VirtualCameraDriver:使用AVStream minidriver的Windows虚拟相机驱动程序
05-07
该项目包括两个部分: Windows驱动程序和可以将帧推送到驱动程序的用户模式应用程序。司机该驱动程序基于Microsoft的avshws驱动程序示例。 在此驱动程序中实现的筛选器由一个接受缓冲区(1280x720,RGB)的自定义...
驱动读写进程
ChinaPrc
04-20 1083
NTSTATUS KeReadVirtualMemory(PEPROCESS Process, PVOID SourceAddress, PVOID TargetAddress, SIZE_T Size) { PSIZE_T Bytes; if (NT_SUCCESS(MmCopyVirtualMemory(Process, SourceAddress, PsGetCurrentProcess...
易语言内存读写支持库2.3 带驱动读写 支持x64进程 静态编译
06-25
将ncdx98.fne放在易语言lib目录下 将ncdx98_static.lib放在易语言static_lib目录下 即可使用 virscan查毒链接:http://www.virscan.org/scan/bfb948a9c839be980a853d26cb762eb7 哈勃查毒链接:https://habo.qq.com/file/showdetail?md5=932b29e2ff7649962a672183cd12bf27&pk=ADwGZV1rB2MIPFs5 {ECF1A0B0-BF8B-1EFF-CBD8-ECD74EFCBCBB} Q群:133320211 欢迎反馈 BUG 易语言加载驱动误报正常 可上传在线查毒 如果有使用过之前版本支持库的朋友 建议安装支持库之前 Ctrl+a 屏蔽源码以后再安装 防止参数错乱 v2.3 18.11.3 添加 x64进程内存类 取内存属性 添加 x64进程内存类 置内存属性 添加 x64进程内存类 置为可写 添加 x64进程内存类 是否可写 v2.2 18.10.28 新增 x64进程内存类 64系统专用 删除多余判断 使用进程句柄操作 添加 x64进程内存类 申请内存 添加 x64进程内存类 释放内存 v2.1 18.10.13 修改 进程_是否64位 判断进程是否为64位进程,是64位进程返回真,否则返回假。 添加 读u文本型 添加 写u文本型 v2.0 18.10.11 完善了支持库参数详解 新增 搜索_模糊 支持通配符?? 搜索规则与OD相同,返回搜寻的内存地址数目 新增 再次搜索_模糊 支持通配符?? 搜索规则与OD相同,返回搜寻的内存地址数目 新增 搜索Ex_模糊 支持通配符?? 返回搜寻的内存地址 新增 再次搜索Ex_模糊 支持通配符?? 返回搜寻的内存地址 新增 特征码搜索2 支持通配符搜索 返回十六进制文本内存地址 新增 读二叉树 新增 读文本型Ex 新增 写文本型Ex 新增 读字节集Ex 新增 写字节集Ex 修改 读代码 如:"10007AFA8+50+14" 地址中允许带模块名(模块名要用尖括号括起来),如:+50+14 修改 写代码 修改 读文本型 支持Unicode 自动判断读取长度 修改 写文本型 支持Unicode v1.21 18.9.28 修正 进程_枚举模块x bug 修正 特征码搜索 bug 真正支持64程序搜索 修正 搜索 bug 真正支持64程序搜索 v1.2 18.9.24 新增 进程_枚举模块 支持64进程 需提升自身权限 新增 搜索Ex 返回文本地址 新增 再次搜索Ex 返回文本地址 v1.1 18.9.19 修改 进程_取模块地址32 可取出模块内存区域地址大小 新增 进程_取模块地址64Ex 可取出模块内存区域地址大小 新增 特征码搜索Ex 搜索模块 速度更快 只支持无驱动保护的游戏 v1.0 18.9.8
某超级注入程序的驱动逆向
被遗弃的庸才博客
11-05 2385
1、起因 从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动驱动,于是这里把驱动提取出来,简单分析一下。 1.1运行 让程序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载(简单破解一下就行,不是重点) 1.2破解之后 下一个CreateServiceA断点,让它在加载驱动之前断下,接着将驱动拷贝出来。从下图可以看到虽然驱动有签名,但是个过期签名,高版本windows10上是加载不上的。 2、驱动分析 好消息是驱动没有加壳,可以f5分析一下 2.1W.
VS2010中malloc的使用
lichengyu的专栏
01-11 6775
在VS2010 Express中,写c程序: 例子1: #include #include #define LEN 128 int main() { printf("\n"); int* a = (int*)malloc(sizeof(int)*LEN); free(a); return 0; } 编译失败,报错: 1>------ Build started: Proje
自己读取进程空间数据
fisher_jiang的专栏
05-22 5342
  这里只是简单的实现下读取进程空间的数据...写操做也是一样的....比较简单...    这样你就可以在内核读用户空间了....哈哈    大家都知道在用户态我们常用 kernel32.dll中的ReadProcessMemory来读取进程...这个函数只是简单地对传入的参数进行处理然后调用了 ntdll.dll中的NtReadVirtualMemory/ZwReadVirtualMe
windows内核情景分析---进程线程
maomao171314的专栏
04-04 3276
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 进程的启动过程: BOOL CreateProcess (   LPCTSTR lpApplicationName,                 //   LPTSTR lpCommandLine,                      // command line string   LPSECURITY_ATTRIBU
反汇编编程遇到的问题总结
duhaomin的专栏
10-31 2178
反汇编编程遇到的问题总结 编写NtReadVirtualProcess反汇编代码的时候,遇到了一系列问题,记录一下,希望能给一些也是初入该领域的朋友带去帮助: 在此之前写过的几篇文章: 第五天 使用IDA反汇编系统NTReadVirtualMemory函数,模拟实现里边的部分函数 驱动与应用层简单消息通信总结 windows 编程ReadProcessMemory 使用中遇到
解密NtQueryVirtualMemory
Less Is More
01-20 1万+
NtQueryVirtualMemory是windows的一个未公开API(导出但未形成文档),他的作用主要是查询指定进程的某个虚拟地址控件所在的内存对象的一些信息。 原型(prototype): NTSTATUS NTAPI NtQueryVirtualMemory(           IN HANDLE               ProcessHandle,      //目标进
android内核驱动开发 ndk app
06-06
在Android的开发过程中,内核驱动开发和NDK App的开发是非常重要的组成部分。 内核驱动开发是Android系统开发的一部分,它是为其硬件提供支持的关键部分。内核驱动通常被写为Linux内核模块,它们直接跑在硬件上,与...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值