驱动读写应用程序内存

最新推荐文章于 2024-06-06 17:17:38 发布
最新推荐文章于 2024-06-06 17:17:38 发布
阅读量7.5k 收藏 42
点赞数 4
分类专栏: Windows内核研究
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44286745/article/details/100070288
版权

驱动读内存

先定义一个结构,方便应用层调用读写

typedef struct DATA
{
	DWORD pid;//不用HANDLE类型也可以,个人觉得用DWORD方便应用层调用
	unsigned __int64 address;
	int data;
}Data;

读内存

1.使用通过进程ID获取进程对象PsLookupProcessByProcessId,此时内核对象引用数会加1
2.KeStackAttachProcess进入进程的地址空间
3.ProbeForRead检查内存地址是否有效
4.RtlCopyMemory将指定的内存Copy到一个缓冲区,至此,内存已经读到
5.收尾:
调用KeUnstackDetachProcess解除与进程的绑定,退出进程地址空间,
调用ObDereferenceObject使内核中对象引用数减1

BOOL ReadMemory(Data* data)
{
	PEPROCESS process=NULL;
	//获取进程对象
	NTSTATUS status = PsLookupProcessByProcessId(data->pid,&process);

	if (process == NULL)
	{
		DbgPrint("获取进程对象失败,PID:%d",data->pid);
		return FALSE;
	}

	KAPC_STATE state = { 0 };
	//绑定进程对象,进入进程地址空间
	KeStackAttachProcess(process, &state);

	__try
	{
		//读取内存
		ProbeForRead(data->address, sizeof(data->data), 1);
		RtlCopyMemory(&(data->data), data->address, sizeof(data->data));
	}
	__except(1)
	{
		//解除绑定
		KeUnstackDetachProcess(&state);
		//让内核对象引用数减1
		ObDereferenceObject(process);
		DbgPrint("读取进程 %d 的地址 %x 出错", data->pid, data->address);
		return FALSE;
	}

	//解除绑定
	KeUnstackDetachProcess(&state);
	//让内核对象引用数减1
	ObDereferenceObject(process);
	DbgPrint("进程 %d 地址 %x 数据:%d", data->pid, data->address, data->data);

	return TRUE;
}

写内存

1.使用通过进程ID获取进程对象PsLookupProcessByProcessId,此时内核对象引用数会加1
2.KeStackAttachProcess进入进程的地址空间
3.IoAllocateMdl创建地址描述符
4.MmBuildMdlFornon将该内存与我们的驱动绑定
5.调用MmMapLockedPages将MDL映射到我们驱动里的一个变量,对该变量读写就是对MDL对应的物理内存读写
6.用RtlCopyMemory来修改对应内存储存的数值
7.收尾:
MmUnmapLockedPages解除映射,
KeUnstackDetachProcess解除与进程的绑定,退出进程地址空间,
ObDereferenceObject使内核中对象引用数减1

BOOL WriteMemory(Data* data)
{
	PEPROCESS process=NULL;
	//获取进程对象
	PsLookupProcessByProcessId(data->pid, &process);

	if (process == NULL)
	{
		DbgPrint("获取进程对象失败");
		return FALSE;
	}

	KAPC_STATE state = { 0 };
	//绑定进程
	KeStackAttachProcess(process, &state);

	//创建MDL
	PMDL mdl = IoAllocateMdl(data->address, sizeof(data->data), 0, 0, NULL);
	if (mdl == NULL)
	{
		DbgPrint("创建MDL失败");
		return FALSE;
	}

	//使MDL与驱动进行绑定
	MmBuildMdlForNonPagedPool(mdl);

	int* ChangeData = NULL;

	__try
	{
		//将内存映射到ChangeData
		ChangeData = MmMapLockedPages(mdl, KernelMode);
	}
	__except (1)
	{
		DbgPrint("映射内存失败");
		IoFreeMdl(mdl);
		KeUnstackDetachProcess(&state);
		//让内核对象引用数减1
		ObDereferenceObject(process);
		return FALSE;
	}

	RtlCopyMemory(ChangeData, &(data->data), sizeof(data->data));
	DbgPrint("进程ID:%d 地址:%x 写入数据:%d",data->pid, data->address,*ChangeData);

	//让内核对象引用数减1
	ObDereferenceObject(process);
	MmUnmapLockedPages(ChangeData, mdl);
	KeUnstackDetachProcess(&state);
	return TRUE;
}

新手一个,如有错误,望指教

吾无法无天
关注
  • 4
    点赞
  • 42
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
[Windows驱动开发]-BlackBone实现内存读取的三种方式
kinghzking的专栏
05-19 1216
参数 lpBaseAddress 的类型是LPVOID,对于32位程序,该值只有4字节,读取64位进程就只能看运气了,如果地址大于4字节,读取的结果是错的(也可能直接失败)。比如,我们读取64位的chrome进程,由于chrome.exe模块地址0x13F630000大于4字节,ReadProcessMemory显示错误的内容。驱动一直没有系统的学习过,每次用到的时候总得折腾下安装环境,现在整理下,避免以后再各种查资料。之前的项目,为了节省项目空间,lib和dll等库都未提交到git上,这次补上了,包含。
驱动内存读写驱动内存读写
03-18
驱动内存读写驱动内存读写驱动内存读写驱动内存读写
易语言被嘲讽24年,但这个新式中文编程却大受好评?
最新发布
云表平台的博客
06-06 1003
在众多广为人知的编程语言中,如Java、C语言和Python,它们都是开发者们耳熟能详的工具,然而,有一门名为“易语言”的编程语言,可能并不被大多数人所熟知。易语言,诞生于本世纪初,是由吴涛先生发明的一种中文编程语言,它最初被称为E语言,后来更名为“易语言”,意在强调其易用性和中文编程的特性,吴涛先生创造这种语言的初衷,是为了让那些不懂英文的国人也能轻松学习编程,从而降低编程学习的门槛,使更多人能够踏入这个充满创造力的领域。
驱动开发:通过内存拷贝读写内存
CSDN
09-25 1万+
内核中读写内存的方式有很多,典型的读写方式有CR3读写,MDL读写,以及今天要给大家分享的内存拷贝实现读写,拷贝读写的核心是使用`MmCopyVirtualMemory`这个内核API函数实现,通过调用该函数即可很容易的实现内存的拷贝读写。 MmCopyVirtualMemory是Windows内核中一个非常有用的函数,它可以在用户空间和内核空间之间实现内存数据的拷贝。这个函数通过复制内存页表并更新它们来实现拷贝,从而实现了高效的内存拷贝操作。使用MmCopyVirtualMemory可以省去手动复制内存
驱动开发:内核物理内存寻址读写
Gefangenes的博客
06-30 1089
这种方式的优点是它能够更快地访问内存,因为它避免了虚拟内存管理的开销,通过直接读写物理内存驱动程序可以绕过虚拟内存的保护机制,获得对系统中内存的更高级别的访问权限。需要注意的是,该代码并没有进行有效性检查,如没有检查读取的地址是否合法、读取数据是否在用户空间,因此存在潜在的风险。需要注意的是,该函数还会进行一些错误处理,例如在读取页表项时,如果该项没有被设置为有效,函数将返回0,表示无法访问对应的物理地址。字段包含了进程的页表树的根节点的物理地址,通过它可以找到进程的页表树,从而实现虚拟内存的管理。
如何读取内存数据 Delphi
denghubu的专栏
12-21 3175
如何读取内存数据?(转) 如何访问一个进程的内存空间 ---- 在WIN32中,每个应用程序都可“看见”4GB的线性地址空间,其中最开始的4MB和最后的2GB由操作系统保留,剩下不足2GB的空间用于应用程序私 有空间。具体分配如下:0xFFFFFFFF-0xC0000000的1GB用于VxD、存储器管理和文件系统;0xBFFFFFFF- 0x80000000的1GB用于共享的WIN32 DLL、存储器映射文件和共享存储区;0x7FFFFFFF-0x00400000为每个进程的WIN
内存READWRITE_读写驱动_读写_驱动_驱动读写_驱动内存
09-10
"READWRITE_读写驱动_读写_驱动_驱动读写_驱动内存"这一主题聚焦于内存读写操作以及相关的驱动技术。在操作系统中,驱动程序扮演着硬件与软件之间的桥梁角色,使得操作系统可以有效地管理和控制硬件资源,包括内存...
利用原神驱动读写内存
11-02
这个文件在系统启动时被加载,为上层应用程序提供读写内存的接口和服务。 5. **安全漏洞**: 使用驱动直接读写内存虽然效率高,但如果不当,可能会导致严重的安全问题。例如,未授权的内存访问可能导致数据泄露、...
X64驱动读写内存源码
11-20
在本案例中,我们讨论的是一份"X64驱动读写内存源码",它涉及到驱动开发的关键技术,包括在Ring0层(内核模式)进行内存操作。 1. **X64驱动开发**: - 在64位环境下,驱动程序的编写与32位系统有所不同,主要涉及...
内存读写驱动的源码(C++)
01-04
内存读写驱动是操作系统核心部分的关键组件,它允许操作系统和其他应用程序对系统内存进行直接的读取和写入操作。在C++中实现这样的驱动需要深入理解操作系统原理、内存管理机制以及设备驱动编程技术。以下是对这个...
驱动读写模块(永不非法)
10-17
永远不非法的驱动读写模块。不蓝屏,支持所有系统!包括64位 可读写T X旗下所有游戏,其它游戏也可以正常读写
X64进程驱动读写_读写器_驱动程序
09-20
"X64进程驱动读写_读写器_驱动程序"的主题聚焦于64位环境下的进程访问驱动技术,特别是涉及到在64位进程中对内存的直接读写操作。MDI(Memory Direct Interface)强制读写驱动则是一种特殊的驱动技术,用于绕过常规...
驱动开发:内核MDL读写进程内存
CSDN
10-14 1万+
MDL内存读写是最常用的一种读写模式,通常需要附加到指定进程空间内然后调用内存拷贝得到对端内存中的数据,在调用结束后再将其空间释放掉,通过这种方式实现内存读写操作,此种模式的读写操作也是最推荐使用的相比于CR3切换来说,此方式更稳定并不会受寄存器的影响。写入时与读取类似,只是多了锁定页面和解锁操作。
驱动开发:内核读写内存浮点数
CSDN
05-30 1万+
将其转换为浮点数,通过此方法即可实现字节集到浮点数的转换,而决定是单精度还是双精度则只是一个字节集长度问题,这段读写代码实现原理如下所示;此处只用于演示核心原理,如果想要实现不报错,该代码中的传值操作应在应用层进行,而传入参数也应改为字节类型即可。读写,本章将在如前所述的读写函数进一步封装,并以此来实现驱动读写内存浮点数的目的。浮点数的目的,实现原理是通过读取BYTE类型的前4或者8字节的数据,并通过。的实现,因为浮点数本质上也可以看作是一个字节集,对于。函数依次循环字节集列表即可实现写出字节集的目的;
驱动开发:内核CR3切换读写内存
热门推荐
CSDN
09-25 2万+
首先CR3是什么,CR3是一个寄存器,该寄存器内保存有页目录表物理地址(PDBR地址),其实CR3内部存放的就是页目录表的内存基地址,运用CR3切换可实现对特定进程内存地址的强制读写操作,此类读写属于有痕读写,多数驱动保护都会将这个地址改为无效,此时CR3读写就失效了,当然如果能找到CR3的正确地址,此方式也是靠谱的一种读写机制。至于进程将CR3改掉了读取不到该寄存器该如何处理,这里我找到了一段参考代码,可以实现寻找CR3地址这个功能。结构,查找结构的方法也很简单,依次遍历进程并对比进程名称即可得到。
万字长文教你使用安卓内核驱动进行内存读写
平平无奇一博客
04-05 9100
万字长文教你使用安卓内核驱动进行内存读写
易语言x64驱动读写(可读写有保护游戏内存数据)-稳定
hzw320的博客
02-12 1万+
现在市场上一个可以读取 有保护的游戏的驱动读写插件,价格在1000元/每月 为了帮助独立团论坛的用户节省金钱,我们开发了这款易语言模块。 这次的驱动读写可以读写测试了TX很多个游戏(CF,逆战,LOL,DNF)的内存数据, 大家都知道Tx的游戏是都有TP保护的 一般的内存读写方式都不能读写数据, 而我们这款可以轻松读写数据不被检测, 下面是功能的演示视频: CF测试: 在各系统中进行驱动保护的教程 (监视进程阻止启动,暂停,注入,保护进程不被结束,内存无..
Linux内存读写 -- 自制驱动调试工具
w741627265的博客
07-16 922
前言: 平时的驱动调试中,有时候想读取某个内存,看看内存的值或者变化情况。自制一个用来读取内存的工具,可以方便驱动的开发测试。工具分为驱动程序和应用程序,具体的编写步骤和源代码如下: 1. 编写 字符设备 驱动程序 先copy需要的 头文件,这里可以从之前的驱动程序里copy过来,也可借鉴网上相关资源 再写 入口函数(_init),出口函数(_exit),file_operations结构体 入...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吾无法无天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值