MDL内存读写是最常用的一种读写模式,通常需要附加到指定进程空间内然后调用内存拷贝得到对端内存中的数据,在调用结束后再将其空间释放掉,通过这种方式实现内存读写操作,此种模式的读写操作也是最推荐使用的相比于CR3切换来说,此方式更稳定并不会受寄存器的影响。

MDL读取内存步骤

  • 1.调用PsLookupProcessByProcessId得到进程Process结构
  • 2.调用KeStackAttachProcess附加到对端进程内
  • 3.调用ProbeForRead检查内存是否可读写
  • 4.拷贝内存空间中的数据到自己的缓冲区内
  • 5.调用KeUnstackDetachProcess接触绑定
  • 6.调用ObDereferenceObject使对象引用数减1

代码总结起来应该是如下样子,用户传入一个结构体,输出对应长度的字节数据:

#include <ntifs.h>

#include <windef.h>

typedef struct

{

	DWORD pid;                // 要读写的进程ID

	DWORD64 address;          // 要读写的地址

	DWORD size;               // 读写长度

	BYTE* data;               // 要读写的数据

}ReadMemoryStruct;

// MDL读内存

BOOL MDLReadMemory(ReadMemoryStruct* data)

{

	BOOL bRet = TRUE;

	PEPROCESS process = NULL;

	PsLookupProcessByProcessId(data->pid, &process);

	if (process == NULL)

	{

		return FALSE;

	}

	BYTE* GetData;

	__try

	{

		GetData = ExAllocatePool(PagedPool, data->size);

	}

	__except (1)

	{

		return FALSE;

	}

	KAPC_STATE stack = { 0 };

	KeStackAttachProcess(process, &stack);

	__try

	{

		ProbeForRead(data->address, data->size, 1);

		RtlCopyMemory(GetData, data->address, data->size);

	}

	__except (1)

	{

		bRet = FALSE;

	}

	ObDereferenceObject(process);

	KeUnstackDetachProcess(&stack);

	RtlCopyMemory(data->data, GetData, data->size);

	ExFreePool(GetData);

	return bRet;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

	DbgPrint(("Uninstall Driver Is OK \n"));

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint(("hello lyshark \n"));

	ReadMemoryStruct ptr;

	ptr.pid = 6672;

	ptr.address = 0x402c00;

	ptr.size = 100;

	// 分配空间接收数据

	ptr.data = ExAllocatePool(PagedPool, ptr.size);

	// 读内存

	MDLReadMemory(&ptr);

	// 输出数据

	for (size_t i = 0; i < 100; i++)

	{

		DbgPrint("%x \n", ptr.data[i]);

	}

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

读取内存地址0x402c00效果如下所示:

MDL写入内存步骤

  • 1.调用PsLookupProcessByProcessId得到进程Process结构
  • 2.调用KeStackAttachProcess附加到对端进程内
  • 3.调用ProbeForRead检查内存是否可读写
  • 4.拷贝内存空间中的数据到自己的缓冲区内
  • 5.调用MmMapLockedPages锁定当前内存页面(写入)
  • 6.调用RtlCopyMemory内存拷贝完成写入(写入)
  • 7.调用IoFreeMdl释放MDL锁(写入)
  • 8.调用KeUnstackDetachProcess接触绑定
  • 9.调用ObDereferenceObject使对象引用数减1

写入时与读取类似,只是多了锁定页面和解锁操作。

#include <ntifs.h>

#include <windef.h>

typedef struct

{

	DWORD pid;                // 要读写的进程ID

	DWORD64 address;          // 要读写的地址

	DWORD size;               // 读写长度

	BYTE* data;               // 要读写的数据

}ReadMemoryStruct;

// MDL写内存

BOOL MDLWriteMemory(ReadMemoryStruct* data)

{

	BOOL bRet = TRUE;

	PEPROCESS process = NULL;

	PsLookupProcessByProcessId(data->pid, &process);

	if (process == NULL)

	{

		return FALSE;

	}

	BYTE* GetData;

	__try

	{

		GetData = ExAllocatePool(PagedPool, data->size);

	}

	__except (1)

	{

		return FALSE;

	}

	for (int i = 0; i < data->size; i++)

	{

		GetData[i] = data->data[i];

	}

	KAPC_STATE stack = { 0 };

	KeStackAttachProcess(process, &stack);

	PMDL mdl = IoAllocateMdl(data->address, data->size, 0, 0, NULL);

	if (mdl == NULL)

	{

		return FALSE;

	}

	MmBuildMdlForNonPagedPool(mdl);

	BYTE* ChangeData = NULL;

	__try

	{

		ChangeData = MmMapLockedPages(mdl, KernelMode);

		RtlCopyMemory(ChangeData, GetData, data->size);

	}

	__except (1)

	{

		bRet = FALSE;

		goto END;

	}

END:

	IoFreeMdl(mdl);

	ExFreePool(GetData);

	KeUnstackDetachProcess(&stack);

	ObDereferenceObject(process);

	return bRet;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

	DbgPrint(("Uninstall Driver Is OK \n"));

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint(("hello lyshark \n"));

	ReadMemoryStruct ptr;

	ptr.pid = 6672;

	ptr.address = 0x402c00;

	ptr.size = 5;

	// 需要写入的数据

	ptr.data = ExAllocatePool(PagedPool, ptr.size);

	// 循环设置

	for (size_t i = 0; i < 5; i++)

	{

		ptr.data[i] = 0x90;

	}

	// 写内存

	MDLWriteMemory(&ptr);

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

写出效果如下:

驱动开发:内核MDL读写进程内存的更多相关文章

  1. 驱动读写进程内存R3,R0通信

    stdafx.h 头文件代码 #ifndef _WIN32_WINNT // Allow use of features specific to Windows XP or later. #defin ...

  2. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  3. Linux驱动开发常用头文件

    头文件目录中总共有32个.h头文件.其中主目录下有13个,asm子目录中有4个,linux子目录中有10个,sys子目录中有5个.这些头文件各自的功能如下: 1.主目录 <a.out.h> ...

  4. 驱动开发:内核CR3切换读写内存

    首先CR3是什么,CR3是一个寄存器,该寄存器内保存有页目录表物理地址(PDBR地址),其实CR3内部存放的就是页目录表的内存基地址,运用CR3切换可实现对特定进程内存地址的强制读写操作,此类读写属于 ...

  5. 驱动开发:内核R3与R0内存映射拷贝

    在上一篇博文<驱动开发:内核通过PEB得到进程参数>中我们通过使用KeStackAttachProcess附加进程的方式得到了该进程的PEB结构信息,本篇文章同样需要使用进程附加功能,但这 ...

  6. 驱动开发:内核中实现Dump进程转储

    多数ARK反内核工具中都存在驱动级别的内存转存功能,该功能可以将应用层中运行进程的内存镜像转存到特定目录下,内存转存功能在应对加壳程序的分析尤为重要,当进程在内存中解码后,我们可以很容易的将内存镜像导 ...

  7. 驱动开发:内核遍历进程VAD结构体

    在上一篇文章<驱动开发:内核中实现Dump进程转储>中我们实现了ARK工具的转存功能,本篇文章继续以内存为出发点介绍VAD结构,该结构的全程是Virtual Address Descrip ...

  8. 用Visual studio2012在Windows8上开发内核驱动监视进程创建

    在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破.在Windows 95中,至少应用程序I/O操作是不受限制的,而在Win ...

  9. 《Windows内核安全与驱动开发》 3.2 内存与链表

    <Windows内核安全与驱动开发>阅读笔记 -- 索引目录 <Windows内核安全与驱动开发> 3.2 内存与链表 1. 尝试生成一个链表头并将其初始化. 2. 尝试向内存 ...

  10. 驱动开发:通过Async反向与内核通信

    在前几篇文章中给大家具体解释了驱动与应用层之间正向通信的一些经典案例,本章将继续学习驱动通信,不过这次我们学习的是通过运用Async异步模式实现的反向通信,反向通信机制在开发中时常被用到,例如一个杀毒 ...

随机推荐

  1. CPU--实模式与保护模式

    一.实模式(实地址访问模式) 是Intel公司80286及以后的x86(80386,80486和80586等)兼容处理器(CPU)的一种操作模式. 实模式被特殊定义为20位地址内存可访问空间上,这就意 ...

  2. Codeforces Round #658 (Div. 2)

    A.Common Subsequence 题意 给你两组数,问你有没有相同 的书,有的话,输出最短的那组(大家都知道,1是最小的) AC #include<bits/stdc++.h> ...

  3. 入门篇-其之七-Java运算符(下)

    一.三元运算符的使用 三元运算符(也称作三目运算符),使用:和?表示,其格式为:布尔表达式 ? 表达式1 : 表达式2 如果布尔表达式的计算结果是true,那么执行表达式1:否则,如果布尔表达式的计算 ...

  4. 定向减免!函数计算让 ETL 数据加工更简单

    业内较为常见的高频短时 ETL 数据加工场景,即频率高时延短,一般费用大头均在函数调用次数上,推荐方案一般为攒批处理,高额的计算成本往往令用户感到头疼,函数计算推出定向减免方案,让 ETL数据加工更简 ...

  5. vue学习笔记 九、父子组件实例-基本结构

    系列导航 vue学习笔记 一.环境搭建 vue学习笔记 二.环境搭建+项目创建 vue学习笔记 三.文件和目录结构 vue学习笔记 四.定义组件(组件基本结构) vue学习笔记 五.创建子组件实例 v ...

  6. Linux复制安装 jdk 环境

    转载请注明出处: 最近在弄服务器环境,发现可以通过复制已安装 jdk 的服务器配置到新的服务器,并配置服务器环境变量配置文件就可以完成. 操作步骤如下: 1. 查看以安装jdk服务器的环境配置,并复制 ...

  7. 12-异步FIFO

    1.异步FIFO的应用 跨时钟域 批量数据 传输效率高 2.异步FIFO结构 FIFO深度 - 双端口RAM设计 3.异步FIFO深度计算 4.异步FIFO读写地址的编码 5.异步FIFO读写时钟域的 ...

  8. P5728 【深基5.例5】旗鼓相当的对手

    1.题目介绍 2.题解 2.1 二维数组 思路 主要熟悉vector创建二维数组的方法 vector<vector> ans(N,vector(3)); 这里第一个元素表明数组大小,第二个 ...

  9. js - setInterval的停止与重新启动

    使用js处理问题的时候,我们可能会经常使用到setInterval()来进行定时任务或者轮询的操作,那么如何让setInterval停止和重新启动呢,下边的代码就可以实现的呦,如果有更好的方法,不吝赐 ...

  10. Redis之入门概括与指令

    Redis特点(AP模型,优先保证可用,不会管数据丢失): 快的原因: 基于内存操作,操作不需要跟磁盘交互 k-v结构,类似与hashMap,所以查询速度非常快,接近O(1). 底层数据结构是有如:跳 ...