32位/64位WINDOWS驱动之-突破进程保护映射的方法进行跨进程读内存2

2023-11-18

32位/64位WINDOWS驱动之-突破进程保护映射的方法进行跨进程读内存2

一、在过保护读写筛选器中添加读写驱动2.c

驱动层
代码如下：

#include <ntifs.h>



//OK 测试通过 遇到2个坑 
//第1个坑 sizeof(PKAPC_STATE)是指针 得改结构大小 sizeof(KAPC_STATE)
//第2个坑 KeStackAttachProcess后 进程空间变化了 得用内核内存 中转 BUF缓冲区
//Address为目标进程的内存地址
//Buffer //当前进程的地址
BOOLEAN KReadProcessMemory2(IN PEPROCESS Process, IN PVOID Address, IN UINT32 Length, IN PVOID UserBuffer)
{
   

	KAPC_STATE apc_state;
	RtlZeroMemory(&apc_state, sizeof(KAPC_STATE));
	//1为UserBuffer 创建 MDL内存描述
	//创建MDL来读取内存 UserBuffer=0x200000
	DbgPrint("yjx:sys64  %s 行号=%d  (Process=%p,Address=%p,Length=%d,UserBuffer=%p)" , __FUNCDNAME__, __LINE__ ,Process,Address,Length,UserBuffer);
	PMDL g_pmdl = IoAllocateMdl(UserBuffer, Length, 0, 0, NULL); //8 可以修改成 要读取的内存大小
	if (!g_pmdl)
	{
   
		return FALSE;
	}

	//2标记为非分页内存
	MmBuildMdlForNonPagedPool(g_pmdl);
	//3锁定 映射用户内存 到 内核内存 0x100000
	unsigned char* Mapped = (unsigned char*)MmMapLockedPages(g_pmdl, KernelMode); //UserMode
	if (!Mapped)
	{
    //映射失败
		IoFreeMdl(g_pmdl);
		return FALSE;
	}
	//成功 映射了 地址
	//切换到 目标进程
	KeStackAttachProcess((PVOID)Process, &apc_state);
	//判断目标地址是否可以访问 UserBuffer不可访问 Mapped可以访问
	BOOLEAN dwRet = MmIsAddressValid(Address);
	if (dwRet)</

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

MFCC编程

驱动开发

Windows

单片机

STM32

32位/64位WINDOWS驱动之-突破进程保护映射的方法进行跨进程读内存2 的相关文章

从 Windows 批处理文件中检测 ANSI 兼容控制台？

Windows 10 控制台主机 conhost exe has 对 ANSI 转义序列的本机支持 https msdn microsoft com en us library windows desktop mt638032 aspx 旧
alter Windows 文件中的 krb5.ini 文件哪里去了？

至少在 Windows XP 之前如果您加入具有 Kerberos 领域特定设置的域就会有一个 krb5 ini 文件从 Vista 或 7 开始不再需要此文件我试图找到有关此的更多信息但陷入困境 krb5 ini 文件中的设置
Windows 批处理文件：如何启用命令的内联回显

如果在 Windows 批处理文件中默认禁用 echo 是否有办法为特定命令内联启用它我知道可以回显特定命令disabled通过在命令前添加但是有没有办法做相反的事情呢例如假设有一个像这样的批处理文件 echo off cmd1
当工作站锁定然后解锁时，如何防止窗口大小调整？

我们有一个在多显示器环境中运行的应用程序用户通常将应用程序对话框分散到多个监视器上如果用户锁定工作站然后解锁它我们的应用程序就会被告知调整大小我们的用户发现这种行为令人沮丧因为他们随后花了一些时间恢复以前的布局我们还不确定是图
如何从数据表中设置 DataGridViewComboBoxColumn 中的值？

DataGridViewComboBoxColumn dgvcb DataGridViewComboBoxColumn grvPackList Columns Units Globals G ProductUtility G Utility
Inno Setup 安装可以设置 Windows 安全组吗？

如何在 Inno Setup 安装过程中设置 Windows 安全组我似乎想不出正确的文本来谷歌来弄清楚也许暗示要搜索什么就足够了好的我找到了一些东西我可以使用 net localgroup Windows 命令 http tec
枚举nodejs中的系统驱动器

有没有办法检索计算机上所有逻辑驱动器的驱动器名称我查看了 fs api 但从那里我只能枚举给定目录的文件和目录我不确定驱动器名称是什么意思如果您的意思是以下形式的驱动器 PhysicalDriveN 我遇到了同样的问题并实现了这个
为什么 SetCursorPos 将光标位置重置到显示屏的左侧？

SetCursorPos https learn microsoft com en us windows win32 api winuser nf winuser setcursorpos将光标移动到指定的屏幕坐标然而它似乎有一个错误
msinfo32 无法在 Windows XP 下的 NSIS 中运行

以下 NSIS 行由于某种原因拒绝在 Windows XP 下运行立即返回 ExecWait PROGRAMFILES Common Files Microsoft Shared MSInfo msinfo32 report DESKTO
Pip install 导致此错误“ cl.exe' failed with exit code 2 ”

我已经阅读了有关此错误的所有其他问题但令人沮丧的是没有一个给出有效的解决方案如果我跑pip install sentencepiece在命令行中它给出了以下输出 src sentencepiece sentencepiece wra
C# 系统 CPU 使用情况并与 Windows 任务管理器同步

这是一个由两部分组成的问题我想将我的代码发布到堆栈上以帮助其他人完成相同的任务问题一我有一个代码子集我相信它可以根据测量间隔正确测量 CPU 使用情况根据检索的时间跨系统中的尽可能多的核心我在线程调用中使用 1 秒我必须从网上
当IRQL下降时，Windows中如何触发软件中断？

我知道对于硬件中断当 KeAcquireInterruptSpinLock 调用 KeLowerIrql 时 HAL 会调整 LAPIC 中的中断掩码这将允许自动服务排队的中断可能在 IRR 中但是对于软件中断例如 ntdll d
Powershell 设置盖子关闭操作

我想自动设置 Windows 7 在我的工作笔记本电脑上合上盖子时所执行的操作因为每次登录时都会通过 GPO 重置该操作我知道我可以在批处理脚本中使用 powercfg 命令来实现此目的 powercfg setacvalueindex
C++ 在后台运行 system()，dir 路径中带有空格，+输出到文本文件

我正在尝试使用一堆选项运行 tshark exe 并输出到 fil 见下文然而我真的坚持要使用的 system 命令的正确语法我以前在这里得到过帮助甚至已经让它与 dos for 循环一起工作但这超出了我的能力范围我已经尝试了各
多重处理：如何从子进程重定向标准输出？

注意我见过multiprocessing Process 的日志输出 https stackoverflow com questions 1501651 log output of multiprocessing process 不幸的是
没有设备的设备驱动程序？

我正在创建一个需要使用一些内核级模块的应用程序为此我将应用程序分为 2 个一个用户级程序和一个内核级程序在阅读了有关设备驱动程序并浏览一些教程后我有点困惑是否可以存在没有任何特定设备与之关联的设备驱动程序除了设备驱动程序内核代
如何驯服 Windows 标头（有用的定义）？

在其中一个答案中this https stackoverflow com questions 1394132 macro and member function conflict问题jalf https stackoverflow com
Windows 中内存分配的限制+我计算得是否正确？

我正在编写一个需要大量内存的程序大型图形分析目前我的程序中有两个主要的数据结构占用了大部分内存这些都是 n n 类型的矩阵int 和长度为 n 的数组类型Node 在本例中节点是一个包含两个 int 的结构体 sizeof No
内核与系统中的 Windows 进程

我有一些与内核和用户模式下的 Windows 进程相关的问题如果我有一个 hello world 应用程序和一个公开新系统调用 foo 的 hello world 驱动程序我很好奇一旦处于内核模式我能做什么和不能做什么对于初学者来说
Django - 该进程无法访问该文件，因为该文件正在被另一个进程使用

我正在尝试在 Windows 10 上运行 Django 我是 Django 的新手我正在使用 Compressor Toolkit 我的问题是我可以运行 manage py 但本地主机说 base html 第 9 行出错该进程无法访

随机推荐

Vue使用Element-ui表单发送数据和多张图片到后端

在做项目的时候遇到一个问题前端需要上传表单到后端表单数据包括文本内容和图片后端我用的是Nodejs 效果类似下图前端需要向后端传商品名称价格描述商品图片前端准备利用Element ui中的表单功能和上传功能将upload
【面试八股文】每日一题：谈谈你对IO的理解

谈谈你对IO的理解每日一题 Java核心谈谈你对对IO的理解面试八股文 1 Java基础知识 Java IO Input Output 是Java编程语言中用于处理输入和输出的一组类和接口它提供了一种在Java程序中读取和写入数据的
Web前端部署的几种方法和步骤

随着互联网技术的发展和普及 Web前端开发已成为当今最重要和最具前景的技能之一与此同时如何将 Web 前端部署到服务器上已成为一个必不可少的技能本文将介绍 Web 前端部署的几种方法和步骤一前置准备在开始 Web 前端部署之前
linux安装SecureCRT安装教学

linux安装SecureCRT安装教学列如 Anolis OS8 6 安装SecureCRT8 0 目录系列文章目录 linux安装SecureCRT安装教学教学前言一 securecrt安装二使用步骤 1 创建securec
verdi中如何查看force信号信息

转载 verdi中如何查看force信号信息骏的世界 lujun org cn 在仿真中我们会有对信号进行force的操作从而实现某些特定的功能但是在仿真波形中不能直接从波形上看出这些信号的驱动是因为前级电路的驱动还是因为f
为何软文营销能够做到良好的品牌推广效果

如今的互联网已经不再是十多年前那样只能看看文字图片而是一个包罗万象的大集合其中内容之丰富已经开始有代替报纸电视广播等传统的信息传播途径因此越来越多的人选择了互联网在互联网上的推广效果是越来越给力面对这么大的宣传平台很多
三分钟，教你3种前端埋点方式！

大厂技术高级前端 Node进阶点击上方程序员成长指北关注公众号回复1 加入高级Node交流群只有了解用户我们才能服务好用户而最接近用户的我们自然要承担起更多的责任那么在一个企业中我们要如何去了解用户呢最直接有效的方式
警告: Unable to find required classes (javax.activation.DataHandler and javax.mail

在调试Axis1 4访问WebService服务时出现以下警告警告 Unable to find required classes javax activation DataHandler and javax mail internet
sip线路对接_线路调度一二三

使用呼叫中心系统在进行外呼业务时坐席的呼出呼叫最终需要通过各种线路进行呼出根据线路类别不同目前常见的有数字中继线 SIP中继对接线路 IMS接入线路 FXO大号模拟线卡线 API对接线路除自有线路外根据供应商类型主要有各地
【Linux中shell脚本】Linux中shell脚本回车换行问题

背景 windows下编辑shell脚本报错 syntax error near unexpected token r 问题产生原因因为windos与linux换行符不同导致 notepad 中视图 gt 显示符号 gt 显示所有符号
Qt技术重绘QtableView方法

在项目过程中需要在列表中用图形显示磁盘的使用情况这用Qt自身的QTableview控件不能完全实现需要用委托进行重绘创建一个委托类继承QItemDelegate类然后实现void paint QPainter painter con
研报精选230410

目录行业230410西南证券医药行业2023年4月投资月报看好创新药和中药行情行业230410国信证券汽车行业4月投资策略 3月新能源乘用车批发销量预计同比增长32 持续关注板块年报季报行情行业230410西南证券医药行业周报
java------int=20是存在堆里还是栈里

如果方法里的局部变量就会存在栈帧里的局部变量表中如果是成员变量则存在于堆中它属于int类的一个实例存放在堆中开辟的空间
【Mo 人工智能技术博客】图卷积网络概述及其在论文分类上的应用

近年来深度学习在计算机视觉自然语言处理等领域大放异彩这些领域所面对的数据都是结构化的如图像音频文本等它们内部都有明确的排列规则结构化的数据由于具有这些确定的规则而方便处理但是在现实生活中非结构化的关系数据才是主流我们无
Ubuntu 18.04换国内源中科大源阿里源 163源清华源

国内有很多Ubuntu的镜像源包括阿里的网易的还有很多教育网的源比如清华源中科大源我们这里以中科大的源为例讲解如何修改Ubuntu 18 04里面默认的源编辑 etc apt sources list文件在文件最前面添加以
华为OD机试 - 跳格子1（Java）

题目描述小明和朋友玩跳格子游戏有 n 个连续格子每个格子有不同的分数小朋友可以选择以任意格子起跳但是不能跳连续的格子也不能回头跳给定一个代表每个格子得分的非负整数数组计算能够得到的最高分数输入描述给定一个数列如 1 2
3D游戏设计大作业

Unity大作业粒子系统效果一前言 1 此篇文章记录了2022年第二学期中山大学软件工程3D游戏与编程的大作业本次大作业可选择范围众多最终我选择了粒子系统效果作为了本次大作业的主题 2 一个粒子系统可以模拟并渲染许多称为粒子的小图
CRC校验总结

事实上网上很多CRC校验算法在接收端进行CRC校验时余数不为零这往往是因为CRC校验算法本身是有问题的但不妨碍我们进行校验接收端可以对需要校验的字段带入CRC校验算法计算得到校验值并与发送数据中的校验值进行比较如果两者相等
生信技能树R语言学习

一数据类型和向量 1 数据类型 1 1 判断数据类型class 1 2 按Tab键自动补全 1 3 数据类型的判断和转换 1 is 族函数判断返回值为TRUE或FALSE is numeric 123 is character a i
32位/64位WINDOWS驱动之-突破进程保护映射的方法进行跨进程读内存2

32位 64位WINDOWS驱动之突破进程保护映射的方法进行跨进程读内存2 一在过保护读写筛选器中添加读写驱动2 c 驱动层代码如下 include

32位/64位WINDOWS驱动之-突破进程保护映射的方法进行跨进程读内存2

32位/64位WINDOWS驱动之-突破进程保护映射的方法进行跨进程读内存2

一、在过保护读写筛选器中添加 读写驱动2.c

32位/64位WINDOWS驱动之-突破进程保护映射的方法进行跨进程读内存2 的相关文章

随机推荐

热门标签

一、在过保护读写筛选器中添加读写驱动2.c