百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 技术分析 > 正文

驱动保护 -- 向被保护的内存写数据

liebian365 2024-10-20 10:00 26 浏览 0 评论

一、驱动层写数据源码

1、具体功能实现

BOOLEAN KWriteProcessMemory(IN PEPROCESS 目标进程, IN PVOID 被写入地址, IN UINT32 写入长度, IN PVOID 待写入数据)
{


  KAPC_STATE apc_state;
  RtlZeroMemory(&apc_state, sizeof(KAPC_STATE));
  //创建MDL来读取内存
  PMDL 映射内存结构 = IoAllocateMdl(待写入数据, 写入长度, 0, 0, NULL);
  if (!映射内存结构)
  {
    return FALSE;
  }
  //将映射内存变成可读
  MmBuildMdlForNonPagedPool(映射内存结构);
  //获取可读的地址
  unsigned char* 可写内存 = (unsigned char*)MmMapLockedPages(映射内存结构, KernelMode);
  if (!可写内存)
  {
    IoFreeMdl(映射内存结构);
    return FALSE;
  }
  //切换到目标进程进行操作
  KeStackAttachProcess((PVOID)目标进程, &apc_state);


  //判断该地址是否可读
  BOOLEAN 是否可读 = MmIsAddressValid(被写入地址);
  if (是否可读)
  {


    RtlCopyMemory(被写入地址, 可写内存,  写入长度);


  }
  else
  {
    KdPrint(("nxyn2不可读"));
  }
  //恢复环境
  KeUnstackDetachProcess(&apc_state);
  MmUnmapLockedPages((PVOID)可写内存, 映射内存结构);
  IoFreeMdl(映射内存结构);


  return 是否可读;
}




int WriteProcessMemoryForPid(UINT32 dwPid, PVOID 目标地址, PVOID 写入地址, UINT32 写入大小)
{
  //根据pid获取PEPROCESS
  PEPROCESS Seleted_pEPROCESS = NULL;
  if (PsLookupProcessByProcessId((PVOID)(UINT_PTR)(dwPid), &Seleted_pEPROCESS) == STATUS_SUCCESS)
  {


    BOOLEAN br = KWriteProcessMemory(Seleted_pEPROCESS, (PVOID)目标地址, 写入大小, 写入地址);
    ObDereferenceObject(Seleted_pEPROCESS);
    if (br)
    {
      return 写入大小;
    }
  }
  else
  {
    KdPrint(("nxyn 2读取失败"));
  }


  return 0;


}


NTSTATUS  IRP_WriteProcessMemory(PIRP pirp)
{




  NTSTATUS ntStatus = STATUS_SUCCESS;
  PIO_STACK_LOCATION     irpStack = NULL;
  irpStack = IoGetCurrentIrpStackLocation(pirp);


#pragma pack(push)
#pragma pack(8)
  typedef struct TINPUT_BUF
  {
    UINT64 dwPid;//目标进程PID
    PVOID 被写入地址;
    UINT64 写入长度;
    UINT64 写入地址;
  }TINPUT_BUF;
#pragma pack(pop)




  TINPUT_BUF* 输入数据 = (TINPUT_BUF*)(pirp->AssociatedIrp.SystemBuffer);




  WriteProcessMemoryForPid(输入数据->dwPid, 输入数据->被写入地址, 输入数据->写入地址/*起始地址*/, 输入数据->写入长度);




  if (irpStack) //
  {
    if (ntStatus == STATUS_SUCCESS)
    { //成功则返回 缓冲区大小
      pirp->IoStatus.Information = irpStack->Parameters.DeviceIoControl.OutputBufferLength;//DeviceIoControl
    }
    else
    { //失败则不返回
      pirp->IoStatus.Information = 0;
    }
    //完成请求
    IoCompleteRequest(pirp, IO_NO_INCREMENT);
  }


  pirp->IoStatus.Status = ntStatus;
  return ntStatus;
}

2、在头文件声明IRP_WriteProcessMemory函数

NTSTATUS  IRP_WriteProcessMemory(PIRP pirp);

3、控制码关联

#define irp写被保护数据   CTL_CODE(FILE_DEVICE_UNKNOWN, 0x808,     METHOD_BUFFERED,FILE_ANY_ACCESS)


    else if (控制码== irp写被保护数据)
    {
      return IRP_WriteProcessMemory(IRP指针);
    }

二、应用层实现

1、添加一个按钮

2、源码实现

#define irp写被保护数据   CTL_CODE(FILE_DEVICE_UNKNOWN, 0x808,     METHOD_BUFFERED,FILE_ANY_ACCESS)


void CtestDlg::OnBnClickedButtonXrsj2()
{
#pragma pack(push)
#pragma pack(8)
  typedef struct TINPUT_BUF
  {
    UINT64 dwPid;//目标进程PID
    PVOID 被写入地址;
    UINT64 写入长度;
    UINT64 写入地址;


  }TINPUT_BUF;
#pragma pack(pop)


  UpdateData(true);
  DWORD 返回字节数 = 0;
  DWORD 临时数据 = 0;
  UINT_PTR 地址 = 0x406728;
  UINT64 待写入数据 = 123;
  TINPUT_BUF 输入缓存区 = { mbpid,(PVOID)地址,4 ,(UINT64) & 待写入数据};
  DeviceIoControl(
    设备句柄,
    irp写被保护数据,
    &输入缓存区,
    sizeof(TINPUT_BUF),
    &临时数据,
    sizeof(临时数据),
    &返回字节数,
    NULL
  );
  char 缓存[256];
  sprintf_s(缓存, "2写被保护值%X", 临时数据);
  ::MessageBoxA(0, 缓存, "2写被保护测试", MB_OK);
}



相关推荐

看黑客是如何获取你电脑最高权限的,一定要看

在渗透过程中,通过各种方式获取到一枚cmdshell,但是这个shell的权限比较低,无法让我们做我们想要做的一些操作,比如说获取系统密码,获取数据库信息,又或者比如说拿到服务器中的另一个站点的权限,...

是50个常用的Visual Basic代码示例:

以下是50个常用的VisualBasic代码示例:1.声明变量```vb...

电脑系统型号怎么看版本(如何看电脑系统型号)

有时候我们会需要进行查看电脑上安装的windows系统版本及系统版本号,但对于不懂电脑知识的小白来说要怎么查看电脑系统版本信息呢?别着急,有小编在接下来,就将查看电脑系统版本的教程来分享给你们,希望对...

dos命令systeminfo,查看系统启动时间。电脑卡慢,win10怎么了?

最近一段时间,有几个反应电脑卡慢的,都是windows10的系统。询问得知每天电脑有关机,打开任务管理器,内存使用量达到百分之九十多,而程序只打开微信、wps、360浏览器。cmd窗口运行命令syst...

systeminfo命令:全面解析系统信息!

你是否曾想过,仅凭一条简单的命令,就能深入了解计算机的"内心世界"?是不是有点不可思议?那么,让我们一起探寻这个神奇的命令,揭开它背后的奥秘吧!它能提供的信息超乎你的想象,从操作系统到硬件配置,再到驱...

电脑序列号怎么查询?只需两行命令一键查询

当我们的电脑出问题需要保修的时候,需要查询到电脑的型号和序列号才更便于进行下一步的操作,有包装盒的朋友还可以在包装盒上查询,笔记本用户可以在电脑底部标签上查询,没有包装盒和标签破损的用户就无从下手了。...

快速显示系统信息:Systeminfo命令详解

Systeminfo命令是windows系统中显示系统信息的命令,此命令可以显示出计算机的操作系统的详细配置信息,包括操作系统配置、安全信息、产品ID和硬件属性(如RAM、磁盘空间和网卡)。使用...

dos命令systeminfo图文教程,显示操作系统配置信息msinfo32

大家好,我是老盖,首先感谢观看本文,本篇文章做的有视频,视频讲述的比较详细,也可以看我发布的视频。今天我们学习systeminfo命令,该工具显示本地或远程机器(包括服务包级别)的操作系统配置的信息,...

基于uniapp+vue3跨端仿制chatgpt实例uniapp-chatgpt

#夏日生活打卡季#...

原创新作uniapp+vue3+pinia2高仿微信App聊天

前段时间有给大家分享一个flutter3.x桌面端os系统。今天再分享一款最新原创之作uniapp-vue3-wechat聊天实例。uni-vue3-wechat采用...

UniApp开发的设备适配(uniapp服务器配置)

UniApp是一个跨平台开发框架,支持多端应用(如H5、小程序、iOS、Android等)。由于不同设备的屏幕尺寸、分辨率、操作系统等存在差异,设备适配是开发过程中需要重点关注的问题。以下是Uni...

如何用服务器搭建自己的个人网站(自己服务器怎么做网站)

这篇教程主要是告诉大家如何利用TCP和HTTP协议来完成网站的搭建。首先你需要有C/C++语言基础,且有服务器、客户端概念,如果你了解TCP或者HTTP协议的话,那么将会帮助你更快的学会如何搭建个人网...

大话C语言:字符数组(c语言字符数组教学视频)

1字符数组概述C语言中没有字符串这种数据类型,可以通过char的数组来替代。数字0(和字符'\0'等价)结尾的char数组就是一个字符串,字符串是一种特殊的char的数组。...

源码分享:在pdf上加盖电子签章(pdf怎么加电子签章)

在pdf上加盖电子签章,并不是只是加个印章图片,。而是要使用一对密钥中的私钥对文件进行签字。为啥要用私钥呢?很简单,因为公钥是公开的,其他人才可以用公钥为你证明,这个文件是你签的。这就是我们常说的:私...

C语言wcstombs函数详解:宽字符字符串到多字节的「翻译官」

核心定位wcstombs是C语言中用于将宽字符字符串转换为多字节字符串的「翻译官」,它能将宽字符(wchar_t)转换为多字节字符(如UTF-8编码的中文)。就像一位翻译官,它能将一种语言(宽字符...

取消回复欢迎 发表评论: