内核驱动实现进程内存转存技术详解.pdfVIP

多数ARK反内核工具中都存在驱动级别的内存转存功能，该功能可以将应用层中运行进程的内存镜像转存

到特定目录下。内存转存功能在应对加壳程序的分析尤为重要，当进程在内存中后，我们可以很容易

地将内存镜像导出，从而更好地对样本进行分析。当然，某些加密壳可能无效，但在绝大多数情况下是可

以被转存的。

在上一篇文章《驱动开发:内核R3与R0内存映射拷贝》中介绍了式SafeCopyMemory_R3_to_R0可以

将应用层进程的内存空间映射到内核中。要实现内存转储功能，我们仍然需要使用这个映射函数，只是需

要在此函数上增加一些功能而已。

在实现转存之前，需要得到两个东西，进程内的模块址以及模块长度。这两个参数是必不可少的。

至于内核中如何得到指定进程的模块数据，在很早之前的文章《驱动开发：内核中枚举进线程与模块》中有

详细的方法，这里就在此基础上实现一个简单的进程模块遍历功能。

如下代码中使用的就是枚举进程PEB结构得到参数的具体实现，如果不懂可以研读《驱动开发：内

核通过PEB得到进程参数》这篇文章，此处不再赘述。

InInitializationOrderLinks;映