2
由于这些API,它在用户模式下很简单直接。Windows内核ReadProcessMemory()/ WriteProcessMemory()?
如何从Windows内核模块读取/写入指定进程的用户空间内存?
驱动程序的目标平台是Windows XP/2003
A
回答
4
使用NtWriteVirtualMemory/NtReadVirtualMemory写信给其他进程 - 你需要首先打开的句柄过程。
请注意,如果您已经在进程中,则可以直接写入 - 例如,如果您正在响应来自进程的DeviceIoControl请求,您可以直接写入用户模式地址,并且它们将位于调用您的进程的地址空间。
0
我也是从Windows驱动程序的世界开始的,从我读过的内容XxxProcessMemory在ntdll(R3-UserMode)中调用NtXxxVirtualMemory。 NtXxxVirtualMemory也在ntdll中调用ZwXxxVirtualMemory(R0-KernelMode)。
我相信你应该使用ZwXxxVirtualMemory。
0
在krnel中,ZwXxx例程只是围绕NtXxx的例程,告诉内核调用者是内核模式组件,而不是用户应用程序。当一个调用来自usermode时,内核会执行额外的安全检查。
因此,在内核中使用ZwXxx。
用于读/ /写入存储器到另一个进程的另一种方法是:
- 获得其处理对象(PsLookupProcessByProcessId函数)的地址,
- 开关当前线程它的地址空间(KeStackAttachProcess),
- 执行操作(读/写...),
- 开关的地址空间背面(KeUnstackDetachProcess), 递增
- 递减引用计数(1) (ObDereferenceObject函数)。
相关问题
- 1. ReadProcessMemory WriteProcessMemory iOS
- 2. WriteProcessMemory/ReadProcessMemory失败
- 3. ReadProcessMemory和WriteProcessMemory错了
- 4. ReadProcessMemory/WriteProcessMemory访问程序数据或代码?
- 5. C++ WriteProcessMemory的不中32位工作
- 6. WriteProcessMemory
- 7. WriteProcessMemory C++
- 8. “只有readprocessmemory或WriteProcessMemory的请求的一部分已完成”的Process.Start期间
- 9. 具有多个偏移量的WriteProcessMemory C++
- 10. VB 2008 WriteProcessMemory的()返回0
- 11. Win32 WriteProcessMemory()魔术补偿值
- 12. VirtualQueryEx/ReadProcessMemory
- 13. 内核跟踪Windows 7 WinDbg
- 14. 从Linux调试Windows内核
- 15. 螺纹与WriteProcessMemory的
- 16. 访问拒绝WriteProcessMemory
- 17. ReadProcessMemory上的错误299
- 18. ReadProcessMemory的Win32
- 19. callstack和ReadProcessMemory
- 20. ReadProcessMemory与C#
- 21. 如何使用ReadProcessMemory读取pchar
- 22. Windows的内核模块,可以在内存中找到NDIS Windows
- 23. ReadProcessMemory与__int64地址
- 24. 如何使用ReadProcessMemory
- 25. Windows 7 - WriteProcessMemory的作品,但没有效果可见
- 26. 从内核模式调用dll C++ windows
- 27. Windows内核 - 有没有像ExGetPoolsForTag(pool_tag)?
- 28. 什么是Windows内核驱动程序?
- 29. 在Windows IOT内核上升压C++
- 30. 产生内核模式线程 - Windows
您应该在捕获阶段访问内存,在此之后,您应该只对捕获的值进行操作。否则,你有一个安全漏洞。 – 2011-12-16 15:23:09