2. 程式人生 > >強制讀寫進程的內存

強制讀寫進程的內存

阿新 發佈:2017-11-01
效果 簡單 date stat alt 附加 內存 ble color

某些時候我們需要讀寫別的進程的內存,某些時候別的進程已經對自己的內存讀寫做了保護,這裏說四個思路(兩個R3的,兩個R0的)。

方案1(R3):直接修改別人內存

最基本的也最簡單的就是直接通過WriteProcessMemory 和 ReadProcessMemory對沒有進行保護的程序的內存進行修改,一些單機遊戲輔助什麽的可能會有這種簡單方式修改其他進程內存。

方案2(R3): 註入

通過註入的方式想辦法進入宿主進程,然後修改他的內存。這裏的話姿勢就很多了,遠程代碼註入,APC註入,輸入法註入,LSP註入等等。最常用最省事的估計就是輸入法註入,最不常用,但是效果最好的我個人感覺是LSP註入,這個之前用過一段時間。甚至直接可以在R3層做網絡劫持了。不過LSP坑多,用者慎重。

方案3(R0):KeStackAttachProcess

在驅動裏,直接附加到宿主進程內存,然後進行內存修改,強殺進程的時候也經常用這個姿勢Attack進去,然後 進程虛擬地址空間擦除 直接幹進程。

void KWriteProcessMemory(IN PEPROCESS Process, IN PVOID Address, IN UINT32 Length, IN PVOID Buffer)
{
PKAPC_STATE pKs = (PKAPC_STATE)ExAllocatePool(NonPagedPool, sizeof(PKAPC_STATE));
KeStackAttachProcess(Process, pKs);
 
//Attach進程虛擬空間
if (MmIsAddressValid(Address))
{
RtlCopyMemory(Address, Buffer, Length);
DbgPrint("[x64Drv] Date wrote.");
}
KeUnstackDetachProcess(pKs);
}

方案4(R0):加強版方案3(也叫CR3大法,因為是操作了CR3)

可以理解成是反匯編了方案3的代碼後,直接自己實現了方案3。不過這個設計到不同系統的結構不同問題,用的時候註意確定每個系統的相關數據結構偏移:

以下代碼是Win7 64

#define DIRECTORY_TABLE_BASE    0x028
 
UINT32 idTarget
 
=0;
PEPROCESS epTarget=NULL;
UINT32 idGame=0;
PEPROCESS epGame=NULL;
UINT32 rw_len=0;
UINT64 base_addr=0;
 
 
ULONG64 Get64bitValue(PVOID p)
{
if(MmIsAddressValid(p)==FALSE) 
return 0;
return *(PULONG64)p;
}
 
ULONG32 Get32bitValue(PVOID p)
{
if(MmIsAddressValid(p)==FALSE) 
return 0;
return *(PULONG32)p;
}
 
 
void KReadProcessMemory(IN PEPROCESS Process, IN PVOID Address, IN UINT32 Length, OUT PVOID Buffer)
{
ULONG64 pDTB=0,OldCr3=0,vAddr=0;
//Get DTB
pDTB=Get64bitValue((UCHAR*)Process + DIRECTORY_TABLE_BASE);
if(pDTB==0)
{
DbgPrint("[x64Drv] Can not get PDT");
return;
}
//Record old cr3 and set new cr3
_disable();
OldCr3=__readcr3();
__writecr3(pDTB);
_enable();
//Read process memory
if(MmIsAddressValid(Address))
{
RtlCopyMemory(Buffer,Address,Length);
DbgPrint("[x64Drv] Date read: %ld", *(PDWORD)Buffer);
}
//Restore old cr3
_disable();
__writecr3(OldCr3);
_enable();
}
 
void KWriteProcessMemory(IN PEPROCESS Process, IN PVOID Address, IN UINT32 Length, IN PVOID Buffer)
{
ULONG64 pDTB=0,OldCr3=0,vAddr=0;
//Get DTB
pDTB=Get64bitValue((UCHAR*)Process + DIRECTORY_TABLE_BASE);
if(pDTB==0)
{
DbgPrint("[x64Drv] Can not get PDT");
return;
}
//Record old cr3 and set new cr3
_disable();
OldCr3=__readcr3();
__writecr3(pDTB);
_enable();
//Read process memory
if(MmIsAddressValid(Address))
{
RtlCopyMemory(Address,Buffer,Length);
DbgPrint("[x64Drv] Date wrote.");
}
//Restore old cr3
_disable();
__writecr3(OldCr3);
_enable();
}

面是方案4的執行結果。

技術分享

強制讀寫進程的內存

相關推薦

強制

效果 簡單 date stat alt 附加 內存 ble color 某些時候我們需要讀寫別的進程的內存,某些時候別的進程已經對自己的內存讀寫做了保護,這裏說四個思路(兩個R3的,兩個R0的)。 方案1(R3):直接修改別人內存 最基本的也最簡單的就是直接通過

Linux下直接物理地址

ann erro 分頁 .... gpio 細心 key 單位 開發 虛擬 轉 物理地址 virt_to_phys( *addr );物理 轉 虛擬地址 phys_to_virt( *addr ); 如: unsigned long pProtectVA;

Linux 可執行文件與結構, Linux 加載

執行文件 linux 字符串 程序 一個可執行程序包含三個部分代碼段:主要存放指令,操作以及只讀的(常量)數據(例如字符串常量)。數據段:全局或者靜態的已經初始化的變量。BSS 段:全局或者靜態的未初始化的變量。棧上面有1G內存時Linux內核區,與棧之間有一個gap隨機地址,防止代碼攻擊。數

Linux分析pmap命令

ble sha orm dev linux 含義 dir bytes add 轉自: http://blog.csdn.net/u013982161/article/details/52654256 名稱: pmap - report memory map of

python 增長問題, 解決方法和工具

packages ces local hash htm engine python hive init 轉載:http://drmingdrmer.github.io/tech/programming/2017/05/06/python-mem.html#pyrasite-

Linux性能優化 第五章 性能工具:特定

alt 命中 image 技術分享 顯示 ado padding 利用 val 5.1 Linux內存子系統 在診斷內存性能問題的時候,也許有必要觀察應用程序在內存子系統的不同層次上是怎樣執行的。在頂層,操作系統決定如何利用交換內存和物理內存。它決定應用程序的哪

linux到底怎麽看 剖析top命令顯示的VIRT RES SHR值

這就是 img pca 內存使用情況 res 內核空間 mar 執行 圖片 引 言: top命令作為Linux下最常用的性能分析工具之一,可以監控、收集進程的CPU、IO、內存使用情況。比如我們可以通過top命令獲得一個進程使用了多少虛擬內存(VIRT)、物理內存(RES)

Linux和模型

linux 根據 java程序 除了 strong 圖片 需要 自身 inux 一、Linux和進程內存模型 jvm是一個進程的身份運行在linux系統上,了解linux和進程的內存關系,是理解jvm和Linux內存關系的基礎。 硬件、系統、進程三個層面的內存之間的概要關系

Unix系統編()布局

聲明 使用 ati 刪除 x86 原因 inf art 編譯器 每個進程所分配的內存由很多部分組成,通常稱之為"段(segment)"。 文本段包含了進程運行的程序機器語言指令。文本段具有只讀屬性,以防止進程通過錯誤指針意外修改自身指令。 因為多個進程可同時運行

Linux統計

java jmap linux內存 一、 進程內存統計 cat /proc/[pid]/status通過/proc/[pid]/status可以查看進程的內存使用情況,包括虛擬內存大小(VmSize),物理內存大小(VmRSS),數據段大小(VmData),棧的大小(VmStk),代碼段的大小(V

linux布局

wid 變量的作用域 函數庫 log tel 功能 程序設計 tle 用戶 一個程序本質上都是由 BSS 段、data段、text段三個組成的。這樣的概念在當前的計算機程序設計中是很重要的一個基本概念,而且在嵌入式系統的設計中也非常重要,

查詢,cpu占用情況。僵屍

僵屍 -o func ppi use fun cpu占用 grep -v 16px 查使用內存最多的5個進程:ps aux | head -1 && ps aux | grep -v USER | sort -nr -k 4 | head -5 查使用CP

Java泄漏判斷及解決方法

proc 環境 系統日誌 調用 相對 process 容易 進行 fff 內存泄漏種類Java使用的內存種類包含三種,這三種類型的內存都可能發生內存泄漏。? 堆內存泄漏,如果JVM 不能在java 堆中獲得更多內存來分配更多java 對象,將會拋出java堆內存不足(jav

掃描惡意域名信息

http 截圖 .com 17. ima image 技術 木馬 mage 過年也沒法阻擋寫代碼的熱情。 場景 上機檢查惡意木馬。 功能截圖 掃描進程內存惡意域名信息

Java

set style 定期刪除 pre 獲取 exception logs turn long 今天和同事聊到了緩存,在Java中實現進程緩存。這裏主要思想是,用一個map做緩存。緩存有個生存時間,過期就刪除緩存。這裏可以考慮兩種刪除策略,一種是起一個線程,定期刪除過期的ke

《計算機中可編分析》

images 基本 運行 內存空間 斯坦福 由於 alt 指令集 重疊   博主最近剛看了一些斯坦福大學的內存分析課,結合以前做的內存分析, 今天將計算機中可編程的內存做一個分析。   在計算機的可編程內存中,我們一般分為三個區域:靜態存儲區,棧區,堆區。內存模型如下所

Java通過鎖模擬緩

runnable 一個 nbsp 今天 ted pub 項目 時長 讀寫鎖 緩存池在項目開發中時長用到,在查看了一下相關的資料,發現很多博客中對緩存池的實現有存在著一些漏洞,今天花了點時間梳理一下,用JDK1.5中並發包中的ReentrantReadWriteLock實現

多線,CPU是如果解決多線訪問問題的

這份 adding lock mes body 進行 後繼 圖片 share CPU對內存變量的修改是先讀取內存數據到CPU Cache中,然後再由CPU做運算,運算完成後繼續寫入到內存中 在單核CPU中,這完全沒有問題,然而在多核CPU中,每一個CP

Linux fork()一個核態的變化

roc arch thread tdi 數據 我們 stderr 比較 哪裏 【前言】用戶態的變化,耳熟能詳不在贅述。現在支持讀時共享,寫時復制。 一、內核態的變化   1、fork一個子進程代碼 #include <stdio.h> #include <

[轉]C#共享文件夾

網絡 standard 擴展 遠程文件 dir ted ror str 路徑 1、在服務器設置一個共享文件夾,在這裏我的服務器ip地址是10.200.8.73,共享文件夾名字是share,訪問權限,用戶名是administrator,密碼是11111111。 2、新建一個