通过进程挂靠实现改其它进程的数据

最新推荐文章于 2022-04-23 12:53:02 发布
最新推荐文章于 2022-04-23 12:53:02 发布
阅读量325 收藏 1
点赞数
分类专栏: windows 内核 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/89743084
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 9 订阅
订阅专栏

0环下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

#include <ntifs.h>
VOID DriverUnload(PDRIVER_OBJECT pDriver);
// 根据PID返回进程EPROCESS,失败返回NULL
PEPROCESS LookupProcess(HANDLE hPid)
{
    PEPROCESS pEProcess = NULL;
    if (NT_SUCCESS(PsLookupProcessByProcessId(
        hPid, &pEProcess)))
        return pEProcess;
    return NULL;
}

VOID ChangeData(ULONG uId)
{
    KAPC_STATE ks;

    //1 根据ID获得进程内核对象
    PEPROCESS pEprocess = LookupProcess((HANDLE)uId);

    //2 挂靠到此进程上去
    //需要注意:不能挂靠之后,将内存中的数据往用户层地址存储,是不对的。
    //因为当挂靠到目标进程之后,用户层地址就是目标进程的了,也就存储到
    //目标进程中,而且目标进程的那个地址不一定有效,可能造成崩溃。
    KeStackAttachProcess(
        pEprocess,
        &ks
    );

    //3 修改内存
    char * p = (char *)0x1dfaf0;
    p[5] = 'h';
    p[6] = 'a';
    p[7] = 'h';
    p[8] = 'a';
    p[9] = '\0';
    //4 解除挂靠
    KeUnstackDetachProcess(&ks);
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pPath)
{
    UNREFERENCED_PARAMETER(pPath);
    DbgBreakPoint();

    ChangeData(1716);

    pDriver->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}
VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
    UNREFERENCED_PARAMETER(pDriver);
}

 

3环

1
2
3
4
5
6
7
8

#include<stdio.h>
int main() {
    char *ch = "allenboy";
    printf("%c,%x", ch, ch);
    getchar();
    printf("%c,%x", ch, ch);
    getchar();
}
kernweak
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
变其他进程内存变量值(源代码)
05-29
vc编写的,用于变其它进程内存中的值。 简单修代码后,可用于修单机游戏的得分数值等,获得程序中变量的地址可以借助金山游侠。
漫谈兼容内核之十三:关于“进程挂靠
周寅的专栏
03-13 2015
     上一篇漫谈在介绍APC机制时提到:线程在Windows内核中运行时有时候需要暂时“挂靠(Attach)”到别的进程的用户空间,即暂时切换到另一个进程的用户空间。这称为“进程挂靠”,因为用户空间是一个进程最主要的特征。    显然,要是当前线程的操作与用户空间无关、不需要访问用户空间,那么当时的用户空间到底是谁的用户空间根本就无关紧要,所以这必定发生在与用户空间有关的操作中。    一般而
读《毛德操:关于进程挂靠
Netfilter
02-09 5514
WINDOWS 可以创建远程线程,但是linux却不可以,为何?windows是基于对象的,是异步的,在很多情况下都没有进程上下文,试想一下,windows实际 上就像一个超大容器,里面有形形色色各种对象,进程是对象,线程是对象,中断也是对象,文件是对象...,内核管理着这些对象,通过管理它们为用户提供服 务,而如果对象不交互就不需要管理,系统也就没有存在的意义了,实际上系统基于对象实现就是为了提
进程挂靠技术
qq_18811919的博客
04-23 377
进程与线程 一个进程可以包含多个线程 一个进程至少要有一个线程 进程为线程提供资源,也就是提供Cr3值,Cr3中存储的 是页目录表基址,Cr3确定了,线程能访问的内存也就确定了。 线程代码: mov eax,dword ptr ds:[0x12345678] CPU解析过程: (1)CPU解析线性地址时要通过页目录表在找对应的物理页,页目录表基址存在 Cr3寄存器中。 (2)当前的Cr3的值来源于当前的进程(_KPROCESS.DirectoryTableBase(+0x018)) 线程与进程的如何关联
Windows内核驱动EPROCESS遍历进程模块
12-14
这可以通过遍历全局的进程链表(PsActiveProcessHead)来实现。每个进程都有一个EPROCESS结构,它们通过链表链接在一起。 2. **访问EPROCESS结构**:遍历过程中,对每个EPROCESS结构进行检查。结构中的` Peb `...
挂靠车辆跟踪记录复习进程.pdf
04-27
综上所述,挂靠车辆跟踪记录复习进程是物流管理的核心工具,它涵盖了从车辆准备到货物交付的全过程,通过详尽的数据收集和分析,可以有效地提升运输效率,降低风险,同时保证服务质量。对于从事物流、运输或供应链...
增后挂靠账务问题.doc
11-29
【营增后挂靠账务问题】 营增(营业税增值税)是中国税收政策的一项重大革,自2016年起逐步推广至各个行业,包括建筑业。挂靠经营在建筑业中是一种普遍存在的现象,即一些不具备相应资质或品牌的施工队伍...
增后挂靠账务问题.pdf
11-19
【营增后挂靠账务问题】 营增(营业税增值税)是中国税收政策的一项重大革,自2016年起逐步推广至全国各行业,包括建筑业和房地产业。营增的主要目的是消除重复征税,优化税制结构,降低企业税负。然而,...
12.进程挂靠
My classmates
10-22 862
进程与线程的关系: 一个逃程可以包含多个线程 一个进程至少要有一个线程 进程为线程提供资源,也就是提供Cr3的值, Cr3中存储的是页目录表基址, Cr3确定了,线程能访问的内存也就确定了。 进程与线程的关系 线程代码: mov eax, dword ptr ds:(0x12345678] CPU如何解析0x12345678这个地址呢? CPU解析线性地址时要通过页目录表来找对应的物理页,页目录...
VC++修其他进程内存数据
10-31
可以在一个程序中修其他基础的任何内存地址数据
进程线程007 进程挂靠与跨进程读写内存
鬼手的博客
02-12 2583
文章目录进程挂靠进程与线程的关系线程与进程如何关联为什么需要ApcState.ProcessCR3的值可以随便吗分析NtReadVirtualMemory函数总结跨进程读写内存跨进程操作NtReadVirtualMemory流程解析 进程挂靠 进程与线程的关系 一个进程可以包含多个线程 一个进程至少要有一个线程 进程为线程提供资源,也就是提供CR3的值,CR3中存储的是页目录表的基址,CR3确定...
进程挂靠
qq_41490873的博客
06-07 208
Windows进程与线程学习笔记(九)—— 线程优先级/进程挂靠/跨进程读写
qq_41988448的博客
12-09 1085
Windows进程与线程学习笔记(九)—— 线程优先级前言要点回顾调度链表 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 三种情况会导致线程切换: 当前线程主动调用API: KiSwapThread -> KiSwapContext -> SwapContext 当前线程时间片到期: KiDispatchInt...
如何在linux系统中修其他进程的内存,如何在任意进程中修内存保护属性
weixin_33016355的博客
04-29 554
最近,我们在进行一项安全研究时,需要在任意进程中修内存空间的保护标志。起初,我们发现这项任务看起来很简单,但在实际操作中,却发现困难重重,还好这些都不是什么大问题。在解决这些问题的过程中,我们还学到了一些新的东西,主要是关于Linux机制和内核开发的。在以下的详解中,我们会介绍我们所采取的三种方法以及每次寻求更好解决方案的原因。背景介绍在现代操作系统中,每个进程都有自己的虚拟地址空间(从虚拟地址...
KPCR与进程.md
leeham的博客
10-07 622
KPCR与进程 KPCR KPCR1 KPCR2 (Kernel) Processor Control Region a KPCR for each logical processor KPCR is the means through which the kernel manages them(processors). 由于Windows需要支持多个CPU, 因此Windows内核中为此定义了...
Linux进程控制
weixin_51885188的博客
03-31 1951
文章目录一、进程创建fork函数初识fork函数返回值写时拷贝fork常规用法fork调用失败的原因二、进程终止进程退出场景进程常见退出方法进程退出码进程正常退出main函数returnexit函数_exit函数总结进程异常退出三、进程等待进程等待的必要性进程等待的方法wait方法waitpid方法获取子进程status进程阻塞等待与非阻塞等待四、进程程序替换替换原理替换函数函数解释命名理解简易shell的实现 一、进程创建 fork函数初识 在Linux中,fork函数是一个非常重要的函数,它从已存在进程
进程挂靠后使用PsGetCurrentProcessId获取的进程ID不准
Sven的忘却日记
06-01 1809
如题,在使用KeStackAttachProcess挂靠到目标进程后,又调用了一系列子函数,此时并没有把EPROCESS传进去。 PEPROCESS pProcess = NULL; KAPC_STATE apc; NTSTATUS status = PsLookupProcessByProcessId((HANDLE)pid, &pProcess); if (NT_SUCCESS(status)) { KeStackAttachProcess(pProcess, &apc);
springboot挂靠
最新发布
06-17
1. **自动配置**:Spring Boot 自动扫描项目中的特定目录,如 `META-INF/spring.factories` 文件,寻找并加载实现了特定接口的配置类,这样就可以通过挂载自动配置来扩展功能。 2. **依赖注入**:通过在启动类上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值