驱动中跨进程读写访问内存.pdfVIP

驱动中 跨进程 读写 访问 内存 学习各种高级外挂制作技术，马上去百度搜索 魔鬼作坊，点击第一个站进入， 快速成为做挂达人。 第一次内核编程,代码写的比较乱,不免也有些错误.各位牛哥们,见笑乐,!时间仓促,也没对代 码进程封装,和界面相关太多. 1. 切换目标进程的CR3 通常,跨进程读写内存,用到ReadProcessMemory,WriteProcessMemory, 但需要进程句柄,如果 目标进程受到保护,可能获得进程句柄会失败. ReadProcessMemory最后会调用到KeStackAttachProcess附加到目标进程上切换进程环境进 行拷贝的, 所以想到拿到目标进程的虚拟内存内容,可以将目标进程的页目录基地址放入 CR3 中即可. 首先要获得目标进程的cr3 寄存器,即页目录基地址(开启PAE, 页目录指针表), 每个进程在内核里都有一个EPROCESS 结构. 代码: nt!_EPROCESS +0x000Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070CreateTime : _LARGE_INTEGER +0x078ExitTime : _LARGE_INTEGER +0x080RundownProtect : _EX_RUNDOWN_REF ……. Pcb中就有我们想要得到的CR3 代码: nt!_KPROCESS +0x000Header : _DISPATCHER_HEADER +0x010ProfileListHead : _LIST_ENTRY +0x018DirectoryTableBase : [2]Uint4B +0x020LdtDescriptor : _KGDTENTRY +0x028Int21Descriptor : _KIDTENTRY ……… 那只需要获得目标进程EPROCESS 就可以得到CR3 了 遍历EPROCESS 里的ActiveProcessLinks 的链表获取指定进程的EPROCESS 代码: // 获得当前进程EPROCESS 信息 ULONG uEprocess= 0; __asm { moveax, fs:[0x124] //_ethread moveax, [eax+0x44] // _kprocess movuEprocess,eax } KdPrint((EPROCESS:0x%08x\n,uEprocess)); LIST_ENTRYListHead; InitializeListHead(ListHead); ULONG uFirstEprocess= uEprocess; ULONG uCount = 0; PLIST_ENTRYpActiveProcessLinks; ProcessInfoList*pProcssList= NULL; ULONG uNameOffset= GetPlantformDependentInfo(FILE_NAME_OFFSET); ULONG uPidOffset= GetPlantformDependentInfo(PROCESS_ID_OFFSET); ULONG uLinkOffset= GetPlantformDependentInfo(PROCESS_LINK_OFFSET); ULONG uExitTime = GetPlantformDependentInfo(EXIT_TIME_OFFSET); // 遍历链表获得进程信息 do {