标准MDL方法修改Page、NonPage内存的属性

最新推荐文章于 2023-11-16 08:55:03 发布
最新推荐文章于 2023-11-16 08:55:03 发布
阅读量2.8k 收藏 1
点赞数 
typedef struct _REPROTECT_CONTEXT
{
    PMDL   Mdl;
    PUCHAR LockedVa;
} REPROTECT_CONTEXT, * PREPROTECT_CONTEXT;
 
NTSTATUS
MmLockVaForWrite(
    __in PVOID Va,
    __in ULONG Length,
    __out PREPROTECT_CONTEXT ReprotectContext
    )
{
    NTSTATUS Status;

    Status = STATUS_SUCCESS;

    ReprotectContext->Mdl      = 0;
    ReprotectContext->LockedVa = 0;

    ReprotectContext->Mdl = IoAllocateMdl(
        Va,
        Length,
        FALSE,
        FALSE,
        0
        );

    if (!ReprotectContext->Mdl)
    {
        return STATUS_INSUFFICIENT_RESOURCES;
    }

    //
    // Retrieve a locked VA mapping.
    //

    __try
    {
        MmProbeAndLockPages(
            ReprotectContext->Mdl,
            KernelMode,
            IoModifyAccess
            );
    }
    __except (EXCEPTION_EXECUTE_HANDLER)
    {
       return GetExceptionCode();
    }

    ReprotectContext->LockedVa = (PUCHAR)MmMapLockedPagesSpecifyCache(
        ReprotectContext->Mdl,
        KernelMode,
        MmCached,
        0,
        FALSE,
        NormalPagePriority
        );

    if (!ReprotectContext->LockedVa)
    {
       

        IoFreeMdl(
            ReprotectContext->Mdl
            );

        ReprotectContext->Mdl = 0;

        return STATUS_ACCESS_VIOLATION;
    }

    //
    // Reprotect.
    //

    Status = MmProtectMdlSystemAddress(
        ReprotectContext->Mdl,
        PAGE_EXECUTE_READWRITE
        );

    if (!NT_SUCCESS(Status))
    {


        MmUnmapLockedPages(
            ReprotectContext->LockedVa,
            ReprotectContext->Mdl
            );
        MmUnlockPages(
            ReprotectContext->Mdl
            );
        IoFreeMdl(
            ReprotectContext->Mdl
            );

        ReprotectContext->LockedVa = 0;
        ReprotectContext->Mdl      = 0;
    }

    return Status;
}

NTSTATUS
MmUnlockVaForWrite(
    __in PREPROTECT_CONTEXT ReprotectContext
    )
{
    if (ReprotectContext->LockedVa)
    {
        MmUnmapLockedPages(
            ReprotectContext->LockedVa,
            ReprotectContext->Mdl
            );
        MmUnlockPages(
            ReprotectContext->Mdl
            );
        IoFreeMdl(
            ReprotectContext->Mdl
            );

        ReprotectContext->LockedVa = 0;
        ReprotectContext->Mdl      = 0;
    }

    return STATUS_SUCCESS;
}

whatday
关注
MDL绕过SSDT内存保护
05-06
在写驱动保护进程时,通过修改SSDT是一个很有效的方法,但是系统对SSDT都是只读的,不能写。如果试图去写,肯定会很现实的给你蓝脸,当然这种保护很容易被绕过,其中一种就是MDL 绕过
windows内核开发防崩溃和容错技术
最新发布
zhangyihu321的专栏
08-11 818
windows 驱动 防崩溃 容错技术
读书笔记_windows下的混合钩子(HOOK)_part 4_使用MDL修改内存保护机制
wodamazi
10-15 208
MDLMemory Descriptor List),指内存描述符表,它包含了该内存区域的起始地址、拥有者进程、字节数量以及标志。MDL结构定义在ntddk.h中,具体结构如下: Typedef struct _MDL{ Struct _MDL *Next; CSHORT Size; CSHORT MdlFlags; Struct _EPROCESS *Process; P...
MDL修改内核内存实现
haodawei123的博客
02-01 3064
NTSTATUS DriverEntry(PDRIVER_OBJECT driver,PUNICODE_STRING reg) { PMDL mdl; PVOID addrMm; ULONG addrKdEnterDebugger; ULONG addrKdEnteredDebugger; UNICODE_STRING func; ULONG addr = 0; RtlInitUnicodeStr...
SAM传感器阵列和多通道处理-基于MMSE的MDL方法,无需特征分解即可可靠地估计源数量
02-22
MDL方法是一种用于模型选择的标准,它通过惩罚项来平衡模型的复杂度和拟合数据的能力。在估计源数量的上下文中,MDL方法尝试找到一个解释数据的最佳模型,并且模型的复杂度要尽可能低,以避免过拟合。 描述中提及的...
13.信源数估计MDL算法MATLAB程序_信源数估计_MDL信源估计_mdl_MDLmatlab_
10-03
mdl”和“MDLmatlab”标签则明确了该程序使用的是MATLAB的MDL工具或方法。MATLAB是一种广泛使用的数学软件,尤其适合数值计算和数据分析。在这里,它被用来实现MDL算法,帮助用户进行信源数的估计。 根据提供的...
matlab7打开6.5编辑的mdl文件方法
04-13
- **模型属性**:对于某些复杂的情况,可能还需要修改模型的保存字符编码属性。这可以通过执行`set_param('ModelName','SavedCharacterEncoding','ISO-8859-1')`来实现,其中'ModelName'应替换为具体mdl文件的名称。...
驱动使用 MDL 方式读写内存
LYSM
06-24 6855
背景 通常,我们在内核中修改内存的时候,都是通过修改 CR0 寄存器,关闭内存写保护属性,然后再写入内存的方式来修改内存。我个人不喜欢这种方式,因为总感觉我们使用没有线程接口函数的方法,总感觉不太稳定,而且,在 64 位程序下,CR0 方式不再适用了。 所以,我强烈推荐在内核下使用 MDL 方式来修改内存,在 32 位内核和 64 位内核下同样有效。 实现过程 内存描述符列表 (MDL) 是一个系统定义的结构,通过一系列物理地址描述缓冲区。MDL的全称是 Memory Descriptor List,即内存
内核驱动修改内存
不会写代码的丝丽
12-18 1686
本文会利用内核驱动进行读写取第三方应用内存。内核实现会使用内联汇编 所以对于内核数据结构每个windwos版本不一样需要判断,本文使用19041所写代码。winver即可查看你当前的版本,如下图19042.631就是构建版本号或者调用对应内核API.或者链接windbg的时候查看如下图所示。19041便是构建号。
驱动开发:内核MDL读写进程内存
热门推荐
CSDN
10-14 2万+
MDL内存读写是最常用的一种读写模式,通常需要附加到指定进程空间内然后调用内存拷贝得到对端内存中的数据,在调用结束后再将其空间释放掉,通过这种方式实现内存读写操作,此种模式的读写操作也是最推荐使用的相比于CR3切换来说,此方式更稳定并不会受寄存器的影响。写入时与读取类似,只是多了锁定页面和解锁操作。
使用MDL读写内存的SSDT HOOK
kernweak的博客
05-30 2330
X64下有patchguard,所以先讨论x86的 思路 首先找到函数地址,如果是导出函数,可以使用MmGetSystemRoutineAddress,如果未导出加载符号通过特征码 实现新新函数替换原函数 恢复函数 关于系统从应用层进入内核,xp前是int2e,之后32位是sysenter,64是syscall https://bbs.pediy.com/thread-226254.h...
内存分页保护属性修改
jian274622701的博客
03-20 1119
N年前看的郁金香老师的内核驱动开发教程,想起这段代码,作个笔记, 希望以后在arm下可能会用得上 VOID DisableWriteProtect( PULONG pOldAttr) { ULONG uAttr; _asm { push eax; moveax, cr0; movuAttr, eax; andeax, 0FFFEFFFFh; // CR0 16 BIT = 0 ...
3.3 Windows驱动开发:内核MDL读写进程内存
CSDN
11-16 5088
MDL内存读写是一种通过创建MDL结构体来实现跨进程内存读写的方式。在Windows操作系统中,每个进程都有自己独立的虚拟地址空间,不同进程之间的内存空间是隔离的。因此,要在一个进程中读取或写入另一个进程的内存数据,需要先将目标进程的物理内存映射到当前进程的虚拟地址空间中,然后才能进行内存读写操作。MDL结构体是Windows内核中专门用于描述物理内存的数据结构,它包含了一系列的数据元素,包括物理地址、长度、内存映射的虚拟地址等信息。
修改设备驱动程序属性
weixin_33830216的博客
08-26 408
3环: // // main.c // DriverIterator // #include <CoreFoundation/CoreFoundation.h> #include <IOKit/IOKitLib.h> int main (int argc, const char * argv[]) { CFDictionaryRef matching...
基于MDL准则的模型识别与源数估计方法研究
文件名'mdltest.m'可能表示一个测试MDL方法标准脚本,而'mdltestNumberOfSources.m'则可能专注于测试在确定数据集中源数量时MDL方法的效果。这些文件可能是教学、实验或实际项目中的示例脚本,用于演示和验证MDL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值