驱动 ReadPhysicalMemory 读写 物理内存 参考代码 win7 64

最新推荐文章于 2024-05-28 07:50:42 发布
最新推荐文章于 2024-05-28 07:50:42 发布
阅读量5.7k 收藏 12
点赞数 1
分类专栏: c/c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yedehei_lt/article/details/80656851
版权
本文介绍了在Windows 64位环境下,通过ReadPhysicalMemory函数读写物理内存的方法,包括虚拟地址到页表条目的转换、地址安全检查等关键步骤。代码示例中涉及了PML4、PDPTR、PD、PT等页表级别的转换和检查。
摘要由CSDN通过智能技术生成
#pragma warning( disable: 4100 4103 4146 4213)


NTSTATUS  ReadPhysicalMemory (char *startaddress, UINT_PTR bytestoread, void *output);
UINT_PTR KnownPageTableBase = 0;

void VirtualAddressToIndexes(QWORD address, int *pml4index, int *pagedirptrindex, int *pagedirindex, int *pagetableindex)
/*
* Returns the indexes for the given address  (ia32e)
*/
{
        if (PTESize == 8)
        {
                *pml4index = (address >> 39) & 0x1ff;
                *pagedirptrindex = (address >> 30) & 0x1ff;
                *pagedirindex = (address >> 21) & 0x1ff;
                *pagetableindex = (address >> 12) & 0x1ff;
        }
        else
        {
                *pml4index = 0;
                *pagedirptrindex = 0;
                *pagedirindex = (address >> 22) & 0x3ff;
                *pagetableindex = (address >> 12) & 0x3ff;
        }
}

QWORD IndexesToVirtualAddress(int pml4index, int pagedirptrindex, int pagedirindex, int pagetableindex, int offset)
{
        QWORD r;
#ifndef AMD64
        if (PTESize == 8)
        {
#endif
                r = ((QWORD)pml4index & 0x1ff) << 39;

                if (pml4index >= 256)
                        r = r | 0xFFFF000000000000ULL;

                r |= ((QWORD)pagedirptrindex & 0x1ff) << 30;
                r |= ((QWORD)pagedirindex & 0x1ff) << 21;
                r |= ((QWORD)pagetableindex & 0x1ff) << 12;
                r |= offset & 0xfff;

                
#ifndef AMD64
        }
        else
        {
                r |= (pagedirindex & 0x3ff) << 22;
                r |= (pagetableindex & 0x3ff) << 12;
                r |= offset & 0xfff;
        }
#endif

        return r;

}

#ifndef AMD64
void VirtualAddressToPageEntries32(DWORD address, PPDE *pagedirentry, PPTE *pagetableentry)
{
        DWORD PTE = address;
        UINT_PTR PTB = (DWORD)getPageTableBase();
        PTE = PTE >> 12;
        PTE = PTE * 4;
        PTE = PTE + PTB;
        *pagetableentry = (PPTE)PTE;

        UINT_PTR PDE = PTE;
        PDE = PDE & 0x0000ffffffffffffULL;
        PDE = PDE >> 12;
        PDE = PDE * 4;
        PDE = PDE + PTB;
        *pagedirentry = (PPDE)PDE;        
}
#endif

void VirtualAddressToPageEntries64(QWORD address, PPDPTE_PAE *pml4entry, PPDPTE_PAE *pagedirpointerentry, PPDE_PAE *pagedirentry, PPTE_PAE *pagetableentry)
{
        QWORD PTE = address;

        QWORD PTB=getPageTableBase();

        PTE = PTE & 0x0000ffffffffffffULL;
        PTE = PTE >> 12;
        PTE = PTE * 8;
        PTE = PTE + PTB;
        *pagetableentry = (PPTE_PAE)PTE;

        //*pagetableentry = (PPTE_PAE)((((QWORD)address & 0x0000ffffffffffffull) >> 12)*8) + 0xfffff80000000000ULL;

        QWORD PDE = PTE;
        PDE = PDE & 0x0000ffffffffffffULL;
        PDE = PDE >> 12;
        PDE = PDE * 8;
        PDE = PDE + PTB;
        *pagedirentry = (PPDE_PAE)PDE;


        //*pagedirentry = (PPDE_PAE)((((QWORD)*pagetableentry & 0x0000ffffffffffffull )>> 12)*8) + 0xfffff80000000000ULL;

        QWORD PDPTR = PDE;
        PDPTR = PDPTR & 0x0000ffffffffffffULL;
        PDPTR = PDPTR >> 12;
        PDPTR = PDPTR * 8;
        PDPTR = PDPTR + PTB;
        *pagedirpointerentry = (PPDPTE_PAE)PDPTR;

        //*pagedirpointerentry = (PPDPTE_PAE)((((QWORD)*pagedirentry & 0x0000ffffffffffffull )>> 12)*8) + 0xfffff80000000000ULL;
#ifdef AMD64
        QWORD PML4 = PDPTR;
        PML4 = PML4 & 0x0000ffffffffffffULL;
        PML4 = PML4 >> 12;
        PML4 = PML4 * 8;
        PML4 = PML4 + PTB;
        *pml4entry = (PPDPTE_PAE)PML4;
#else
        *pml4entry = NULL;
#endif
}

BOOLEAN IsAddressSafe(UINT_PTR StartAddress)
{
        #ifdef AMD64
        //cannonical check. Bits 48 to 63 must match bit 47
        UINT_PTR toppart=(StartAddress >> 47);
        if (toppart & 1)
        {
                //toppart must be 0x1ffff
                if (toppart != 0x1ffff)
                        return FALSE;
        }
        else
        {
                //toppart must be 0
                if (toppart != 0)
                        return FALSE;

        }

        #endif

        //return TRUE;
        if (loadedbydbvm)
        {
                BYTE x=0;
                UINT_PTR lasterror;
                disableInterrupts();
                vmx_disable_dataPageFaults();

                x=*(volatile BYTE *)StartAddress;

                vmx_enable_dataPageFaults();
                lasterror=vmx_getLastSkippedPageFault();
                enableInterrupts();

                DbgPrint("IsAddressSafe dbvm-mode: lastError=%p\n", lasterror);
                
                if (lasterror) return FALSE;                
        }


        {
#ifdef AMD64
                UINT_PTR kernelbase=0x7fffffffffffffffULL;

                
                if (StartAddress<kernelbase)
                        return TRUE;
                else
                {
                        PHYSICAL_ADDRESS physical;
                        physical.QuadPart=0;
                        physical=MmGetPhysicalAddress((PVOID)StartAddress);
                        return (physical.QuadPart!=0);
                }
#else
        /*        MDL x;

                
                MmProbeAndLockPages(&x,KernelMode,IoModifyAccess);


                MmUnlockPages(&x);
                */
                ULONG kernelbase=0x7ffe0000;

                if ((!HiddenDriver) && (StartAddress<kernelbase))
最低0.47元/天 解锁文章
yedehei_lt
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
驱动读写模块(永不非法)
10-17
永远不非法的驱动读写模块。不蓝屏,支持所有系统!包括64位 可读写T X旗下所有游戏,其它游戏也可以正常读写
Windows11_22H2下的内存管理分析
lkylky123789的博客
01-28 1101
内存管理机制分析
驱动开发:内核MDL读写进程内存
最新发布
05-28 413
MDL内存读写是最常用的一种读写模式,通常需要附加到指定进程空间内然后调用内存拷贝得到对端内存中的数据,在调用结束后再将其空间释放掉,通过这种方式实现内存读写操作,此种模式的读写操作也是最推荐使用的相比于CR3切换来说,此方式更稳定并不会受寄存器的影响。写入时与读取类似,只是多了锁定页面和解锁操作。
内存填零杀进程
小驹的专栏
11-04 4442
内存填零杀进程效果:可以杀掉360的傀儡进程zhudongfangyun.exe但杀360tray.exe时会卡死系统,不知道360tray做了如何保护...c代码:PHYSICAL_ADDRESS g_physicalPage;VOID DestoryProess(ULONG eproc){ ULONG ulEndAddress = (ULONG)MmSystemRangeStart; PHYS
WINDOWS2k内存管理
老裴
05-31 1834
1、内存布局Virtual Memory Layout on the PAE x86 is:                 +------------------------------------+        00000000 |                                    |                 |                          
19.x64下算出PTE
qq_35129925的博客
04-05 1201
X64下用的是9-9-9-9-12的分页模式,PML4E-PDPTE-PDE-PTE-偏移,线性地址的前16位是作符号扩展,后48位是分页模式. 1.PTE是直接指向物理内存的,X86下有个固定的页目录表0xc0000000可得到所有地址信息,X64下为了安全起见,页目录表随机了,文章末有分析如何得到。 一、PTE的算法: 1.已一个线性地址为例0xfffffa801a628b30,下面先拆分 PML4E:1111 1010 1 1F5 PDPTE:000 000...
#驱动_filmvfv_读写内存_win驱动读内存_win7内存读写驱动_驱动读写_
09-30
标题中的“#驱动_filmvfv_读写内存_win驱动读内存_win7内存读写驱动_驱动读写_”指的是一个专门针对Windows 7系统设计的内存读写驱动程序,可能用于开发或调试过程中需要直接操作内存的场景。在Windows操作系统中,...
win7win10全系统x64驱动读写教程.rar
12-17
在Windows 7和Windows 10操作系统中,x6464位)驱动程序是为了充分利用64位处理器的性能而设计的。本教程将详细介绍如何在这些全系统x64环境下进行驱动读写操作,特别是针对游戏环境,如魔兽世界、传奇4、LOL...
X64驱动读写内存源码
11-20
在本案例中,我们讨论的是一份"X64驱动读写内存源码",它涉及到驱动开发的关键技术,包括在Ring0层(内核模式)进行内存操作。 1. **X64驱动开发**: - 在64位环境下,驱动程序的编写与32位系统有所不同,主要涉及...
内存READWRITE_读写驱动_读写_驱动_驱动读写_驱动内存
09-10
"READWRITE_读写驱动_读写_驱动_驱动读写_驱动内存"这一主题聚焦于内存的读写操作以及相关的驱动技术。在操作系统中,驱动程序扮演着硬件与软件之间的桥梁角色,使得操作系统可以有效地管理和控制硬件资源,包括内存...
Drv_headed3me_读写_驱动读写_读写驱动_一个简单的win7内存读写驱动_
09-29
一个简单的win7内存读写驱动源码,仅供参考
32位/64位WINDOWS驱动之物理地址读写内存方法4
a756598009的博客
07-08 911
自写函数 通过PID切换到目标进程环境 计算出物理地址把物理地址映射到当前进程 不使用时需要用ZwUnmapViewOfSection取消映射//转换成 物理地址的方式 读取进程虚拟地址。
read physical memory and others
03-21 1167
IntroductionThis page is an ever-expanding collection of NT information that I accumulate over time. Youll find practical tips as well useless trivia, with new items added at the top of the page.
驱动开发:内核解析内存四级页表
2301_78287784的博客
05-29 194
9-9-9-9-12的分页模式是一种常见的分页方案,其中物理地址被分成四级页表:PXE(Page Directory Pointer Table Entry)、PPE(Page Directory Entry)、PDE(Page Table Entry)和PTE(Page Table Entry)。这段代码完整版如下所示,代码可动态定位到PTE的内存地址,然后将其取出;运行如上代码可动态获取到当前系统的PTE地址,然后将PTE填入到。即可解析,如下所示,当前地址0位置处的PTE基址是。
驱动开发:内核物理内存寻址读写
热门推荐
CSDN
06-26 1万+
在某些时候我们需要读写的进程可能存在虚拟内存保护机制,在该机制下用户的`CR3`以及`MDL`读写将直接失效,从而导致无法读取到正确的数据,本章我们将继续研究如何实现物理级别的寻址读写。首先,驱动中的物理页读写是指在驱动中直接读写物理内存页(而不是虚拟内存页)。这种方式的优点是它能够更快地访问内存,因为它避免了虚拟内存管理的开销,通过直接读写物理内存驱动程序可以绕过虚拟内存的保护机制,获得对系统中内存的更高级别的访问权限。
驱动开发:通过内存拷贝读写内存
CSDN
09-25 1万+
内核中读写内存的方式有很多,典型的读写方式有CR3读写,MDL读写,以及今天要给大家分享的内存拷贝实现读写,拷贝读写的核心是使用`MmCopyVirtualMemory`这个内核API函数实现,通过调用该函数即可很容易的实现内存的拷贝读写MmCopyVirtualMemory是Windows内核中一个非常有用的函数,它可以在用户空间和内核空间之间实现内存数据的拷贝。这个函数通过复制内存页表并更新它们来实现拷贝,从而实现了高效的内存拷贝操作。使用MmCopyVirtualMemory可以省去手动复制内存
页表HOOK
sanqiuai的博客
10-07 1291
hook一个内核函数,不修改API对应的物理页,而是把与API相关的物理页拷贝一份(PTE,PDE,PPE,PXE四个页),然后修改目标进程的页表映射到拷贝的物理页,使目标进程对此API的操作与其他进程分离,让对此API的hook不会影响到其他进程 结构体 enum { PhyPage, PT, PDT, PPT, PXT, }; typedef struct _PAGE_INFO { UINT64 PteBase;//页表基址 UINT32 PXE
Windows 核心编程研究系列之二:读取指定物理内存地址中的内容
享受开发,颠倒银河
12-19 8520
[原创/讨论] Windows 核心编程研究系列之二: 读取指定物理内存地址中的内容 关键字:windows内核,物理内存   大家知道在windows NT中,如果已知虚拟地址可以通过 进程页表或者内核提供的MmGetPhysicalAddress来取得对应的 物理地址。 现在我们反过来看一下,如果已知一个物理内存地 址 (假设地址有效),如何取得物理地
请使用c++写出内核驱动读写进程内存的代码
02-21
下面是c写出内核驱动读写进程内存的代码:#include #include #include #include #include <linux/mm.h>static int read_write_process_memory(struct task_struct *task) { struct mm_struct *mm; struct vm_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值