MDL内存读写机制详解及步骤.pdfVIP

MDL内存读写是最常用的一种读写模式，通常需要附加到指定进程空间内然后调用内存拷贝得到对端内存

中的数据，在调用结束后再将其空间释放掉，通过这种方式实现内存读写操作。此种模式的读写操作也是

最推荐使用的，相比于CR3切换来说，此方式更稳定并不会受寄存器的影响。

MDL内存步骤

1.调用PsLookupProcessByProce获取进程Process结构

2.调用KeStackAttachProcess附加到对端进程内

3.调用ProbeForRead检查内存是否可读写4.拷

贝内存空间中的数据到自己的缓冲区内5.调用

KeUnstackDetachProcess解除绑定6.调用

ObDereferenceObject使对象数减1

代码总结起来应该是如下样子，用户传入一个结构体，输出对应长度的字节数据：

MDL内存读写是最常用的一种读写模式，通常需要附加到指定进程空间内然后调用内存拷贝得到对端内

存中的数据，在调用结束后再将其空间释放掉，通过这种方式实现内存读写操作，此种模式的读写操作

也是最推荐使用的相比于CR3切换来说，此方式更稳定并不会受寄存器的影响。

MDL内存步骤

1.调用PsLookupProcessByProce得到进程Process结构