Win64 驱动内核编程-27.强制读写受保护的内存

最新推荐文章于 2023-07-01 21:32:04 发布
最新推荐文章于 2023-07-01 21:32:04 发布
阅读量1.3k 收藏 8
点赞数
分类专栏: 驱动编程 文章标签: Driver
原文链接:https://blog.csdn.net/u013761036/article/details/68633149
版权

强制读写受保护的内存

某些时候我们需要读写别的进程的内存,某些时候别的进程已经对自己的内存读写做了保护,这里说四个思路(两个R3的,两个R0的)。

方案1(R3):直接修改别人内存

最基本的也最简单的就是直接通过WriteProcessMemory 和 ReadProcessMemory对没有进行保护的程序的内存进行修改,一些单机游戏辅助什么的可能会有这种简单方式修改其他进程内存。

方案2(R3): 注入

 通过注入的方式想办法进入宿主进程,然后修改他的内存。这里的话姿势就很多了,远程代码注入,APC注入,输入法注入,LSP注入等等。最常用最省事的估计就是输入法注入,最不常用,但是效果最好的我个人感觉是LSP注入,这个之前用过一段时间。甚至直接可以在R3层做网络劫持了。不过LSP坑多,用者慎重。

方案3(R0):KeStackAttachProcess

在驱动里,直接附加到宿主进程内存,然后进行内存修改,强杀进程的时候也经常用这个姿势Attack进去,然后 进程虚拟地址空间擦除 直接干进程。

void KWriteProcessMemory(IN PEPROCESS Process, IN PVOID Address, IN UINT32 Length, IN PVOID Buffer)
{
PKAPC_STATE pKs = (PKAPC_STATE)ExAllocatePool(NonPagedPool, sizeof(PKAPC_STATE));
KeStackAttachProcess(Process, pKs);//Attach进程虚拟空间
if (MmIsAddressValid(Address))
{
RtlCopyMemory(Address, Buffer, Length);
DbgPrint("[x64Drv] Date wrote.");
}
KeUnstackDetachProcess(pKs);
}

方案4(R0):加强版方案3(也叫CR3大法,因为是操作了CR3)

可以理解成是反汇编了方案3的代码后,直接自己实现了方案3。不过这个设计到不同系统的结构不同问题,用的时候注意确定每个系统的相关数据结构偏移:

以下代码是Win7 64

#define DIRECTORY_TABLE_BASE	0x028
 
UINT32 idTarget=0;
PEPROCESS epTarget=NULL;
UINT32 idGame=0;
PEPROCESS epGame=NULL;
UINT32 rw_len=0;
UINT64 base_addr=0;
 
 
ULONG64 Get64bitValue(PVOID p)
{
if(MmIsAddressValid(p)==FALSE) 
return 0;
return *(PULONG64)p;
}
 
ULONG32 Get32bitValue(PVOID p)
{
if(MmIsAddressValid(p)==FALSE) 
return 0;
return *(PULONG32)p;
}
 
 
void KReadProcessMemory(IN PEPROCESS Process, IN PVOID Address, IN UINT32 Length, OUT PVOID Buffer)
{
ULONG64 pDTB=0,OldCr3=0,vAddr=0;
//Get DTB
pDTB=Get64bitValue((UCHAR*)Process + DIRECTORY_TABLE_BASE);
if(pDTB==0)
{
DbgPrint("[x64Drv] Can not get PDT");
return;
}
//Record old cr3 and set new cr3
_disable();
OldCr3=__readcr3();
__writecr3(pDTB);
_enable();
//Read process memory
if(MmIsAddressValid(Address))
{
RtlCopyMemory(Buffer,Address,Length);
DbgPrint("[x64Drv] Date read: %ld", *(PDWORD)Buffer);
}
//Restore old cr3
_disable();
__writecr3(OldCr3);
_enable();
}
 
void KWriteProcessMemory(IN PEPROCESS Process, IN PVOID Address, IN UINT32 Length, IN PVOID Buffer)
{
ULONG64 pDTB=0,OldCr3=0,vAddr=0;
//Get DTB
pDTB=Get64bitValue((UCHAR*)Process + DIRECTORY_TABLE_BASE);
if(pDTB==0)
{
DbgPrint("[x64Drv] Can not get PDT");
return;
}
//Record old cr3 and set new cr3
_disable();
OldCr3=__readcr3();
__writecr3(pDTB);
_enable();
//Read process memory
if(MmIsAddressValid(Address))
{
RtlCopyMemory(Address,Buffer,Length);
DbgPrint("[x64Drv] Date wrote.");
}
//Restore old cr3
_disable();
__writecr3(OldCr3);
_enable();
}

下面是方案4的执行结果。
在这里插入图片描述

————————————————
版权声明:本文为CSDN博主「TK13」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/u013761036/article/details/68633149

zy_strive_2012
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
驱动开发:内核MDL读写进程内存
100编程朱老师的博客
05-28 402
MDL内存读写是最常用的一种读写模式,通常需要附加到指定进程空间内然后调用内存拷贝得到对端内存中的数据,在调用结束后再将其空间释放掉,通过这种方式实现内存读写操作,此种模式的读写操作也是最推荐使用的相比于CR3切换来说,此方式更稳定并不会寄存器的影响。写入时与读取类似,只是多了锁定页面和解锁操作
windows内核驱动逆向安全驱动调试保护注入读写
zygx8的博客
02-28 537
windows内核驱动逆向安全驱动调试保护注入读写
32位/64WINDOWS驱动之-突破进程保护进程读写内存
最新发布
a756598009的博客
07-01 715
类别:值 控件类型: EDIT 名称: m_targetPID 变量类型: UINT32。以上就是突破进程保护进程读写内存的全部内容了。加一个控制码和驱动层对应。
x64驱动强制读写功能之[驱动取模块基址]技术
hzw320的博客
10-18 3063
现在很多比较热门新出的游戏,都具备了一些反辅助保护的机制,比如防止游戏内存数据被第三方软件程序(辅助)读写 所以我重新开发了下我们Game-EC 驱动模块8.5.5加密狗模块版本里的驱动,并且支持到了win7,win8,win10 全64位系统, 让大家使用我们模块开发辅助更效率更轻松面对各种游戏问题。 类_x64强制读写 教程:链接:百度网盘 请输入提取码 提取码: fhy7 bilibili:易语言x64驱动强制读写-取进程模块基址_哔哩哔哩_bilibili ...
帮我写一篇关于Windows驱动c/c++ 读取其他进程内存以及修改其他进程内存的文章...
weixin_35756690的博客
02-19 454
Windows驱动程序是一种特殊的系统程序,它可以访问和控制系统资源,并且不其他应用程序的限制。它可以获取系统资源,进行更深入的系统控制,包括读取其他进程内存以及修改其他进程内存Windows驱动程序可以被用于不少有用的操作,例如实现系统的高级安全性保护、增强系统的性能、自动执行某些指定的任务,甚至还可以实现一些资源的共享。其中,读取其他进程内存以及修改其他进程内存Windows驱动程序的...
内存读写驱动
04-28
内存读写驱动C源码与绝地求生C++辅助源码,可以通过辅助与驱动的结合实现透视效果。
api-ms-win-core-path-l1-1-0.dll.zip
01-27
标签 "api-ms-win core-path l1-1-0.dll" 进一步强调了文件的关键特性,即与路径处理相关的API,并且是Windows内核的核心部分。 在压缩包中的文件 "api_ms_win_core_path_l1_1_0dll" 应该就是实际的DLL文件,用于...
kernel-lt-4.4.210-1.el6.elrepo.x86_64.zip
03-17
"kernel-lt-4.4.210-1.el6.elrepo.x86_64.zip" 这个压缩包文件是针对Red Hat Enterprise Linux 6 (RHEL6)系统的一个长期支持(LT)版本的内核更新。这里的"lt"代表"Long Term Support",意味着这个内核版本将会有更长...
驱动签名 隐藏进程 保护进程 多种方式 保护进程驱动
05-18
64驱动程序尤其需要驱动签名,因为它们运行在更高的权限级别上,未经签名的驱动可能会对系统稳定性造成严重影响。驱动签名涉及一个数字证书,由权威机构颁发,证明驱动的来源和代码完整性。 “隐藏进程”是一种...
win-kernel-programming-code.rar_驱动编程_C/C++_
08-12
在IT领域,驱动编程操作系统核心层面上的一种技术,它涉及到与硬件设备的交互和操作系统内核的功能扩展。C和C++语言由于其低级特性,常被用于编写这类程序,因为它们允许直接操作内存和硬件资源。"win-kernel-...
windows内核驱动读写文件
10-11
windows内核驱动条件下文件的创建、读、写等功能实现源码。适用于驱动调试和运行观察的日志打印输出,比Windbg和reaceview更方便。
进程内存写入实现模块隐藏
07-06
进程内存写入模块实现模块隐藏,输入进程ID号就能实现注入自身并隐藏。
x64读写驱动源码.rar
09-08
无聊时候编写的,用于某公司X地求生。现开源出来供大家研究。
x64内存读写驱动
03-27
可过tp读写大部分tp游戏
天使也掉毛 Win64 驱动内核编程
11-24
天使也掉毛 Win64 驱动内核编程高清PDF,对于学习驱动帮助很大,需要的就下载吧
内核读写只读内存方法总结[Delphi描述]
05-15 1477
作 者: Anskya以下代码均已Delphi描述...至于为什么...首先我是一个Delphi Coder...虽然我大部分时间使用的是ASM编译器和C编译器但是我喜欢Delphi...好了不废话了...已知的三种方法:如果各位有更好的意见欢迎大家提出[1]使内存读写1.stl+cr0:这个方法大家想必经常使用...(参考I-32.3A文档)由于cr0是一个32位寄存器...假设大家的CPU是
showdialog 尝试读取或写入保护内存_共享内存在不同系统的应用与优劣详解...
weixin_39873191的博客
12-05 95
共享内存是一种使计算机程序能够同时共享内存资源以实现更高性能和更少冗余数据副本的技术。共享系统内存可以在单处理器系统、并行多处理器或集群微处理器上运行。对于分布式系统会有一些差异,但共享内存也可以其上运行。   共享内存的可扩展性不高,数据一致性也是一个问题。但是在适当的环境中并且运行缓存一致性协议,相对于这些问题,共享内存带来了更多的优势。   共享内存是一类进程间通信(IPC)技术,它改善了...
c#尝试写入或者读取保护内存_c# – 访问冲突:尝试读取或写入保护内存...
weixin_39752828的博客
12-19 1725
我有一个c#(.net 4.0)winforms应用程序,每天每天工作8小时,在XP SP 3上运行.它在大多数情况下工作正常,有时持续数月.然后它似乎陷入了一个糟糕的咒语,并且每天一次,连续几天,在不同的时间,出现访问冲突异常.我已经尝试查看转储文件,并捕获访问冲突异常以查看堆栈;无论哪种方式,我得到几乎相同的堆栈:Attempted to read or write protected mem...
Linux-2.6.32.2内核在mini2440上的移植(七)-添加ADC驱动.docx
12-16
本文介绍了在Linux-2.6.32.2内核中在mini2440开发板上添加ADC驱动的过程。由于内核本身并没有提供支持S3c2440的ADC驱动程序,因此需要手动添加。在实际测试中发现,《移植开发实战指南》中提供的ADC局部代码始终输出...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值