MDL内存读写是最常用的一种读写模式,通常需要附加到指定进程空间内然后调用内存拷贝得到对端内存中的数据,在调用结束后再将其空间释放掉,通过这种方式实现内存读写操作,此种模式的读写操作也是最推荐使用的相比于CR3切换来说,此方式更稳定并不会受寄存器的影响。

MDL读取内存步骤

  • 1.调用PsLookupProcessByProcessId得到进程Process结构
  • 2.调用KeStackAttachProcess附加到对端进程内
  • 3.调用ProbeForRead检查内存是否可读写
  • 4.拷贝内存空间中的数据到自己的缓冲区内
  • 5.调用KeUnstackDetachProcess接触绑定
  • 6.调用ObDereferenceObject使对象引用数减1

代码总结起来应该是如下样子,用户传入一个结构体,输出对应长度的字节数据:

#include <ntifs.h>

#include <windef.h>

typedef struct

{

	DWORD pid;                // 要读写的进程ID

	DWORD64 address;          // 要读写的地址

	DWORD size;               // 读写长度

	BYTE* data;               // 要读写的数据

}ReadMemoryStruct;

// MDL读内存

BOOL MDLReadMemory(ReadMemoryStruct* data)

{

	BOOL bRet = TRUE;

	PEPROCESS process = NULL;

	PsLookupProcessByProcessId(data->pid, &process);

	if (process == NULL)

	{

		return FALSE;

	}

	BYTE* GetData;

	__try

	{

		GetData = ExAllocatePool(PagedPool, data->size);

	}

	__except (1)

	{

		return FALSE;

	}

	KAPC_STATE stack = { 0 };

	KeStackAttachProcess(process, &stack);

	__try

	{

		ProbeForRead(data->address, data->size, 1);

		RtlCopyMemory(GetData, data->address, data->size);

	}

	__except (1)

	{

		bRet = FALSE;

	}

	ObDereferenceObject(process);

	KeUnstackDetachProcess(&stack);

	RtlCopyMemory(data->data, GetData, data->size);

	ExFreePool(GetData);

	return bRet;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

	DbgPrint(("Uninstall Driver Is OK \n"));

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint(("hello lyshark \n"));

	ReadMemoryStruct ptr;

	ptr.pid = 6672;

	ptr.address = 0x402c00;

	ptr.size = 100;

	// 分配空间接收数据

	ptr.data = ExAllocatePool(PagedPool, ptr.size);

	// 读内存

	MDLReadMemory(&ptr);

	// 输出数据

	for (size_t i = 0; i < 100; i++)

	{

		DbgPrint("%x \n", ptr.data[i]);

	}

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

读取内存地址0x402c00效果如下所示:

MDL写入内存步骤

  • 1.调用PsLookupProcessByProcessId得到进程Process结构
  • 2.调用KeStackAttachProcess附加到对端进程内
  • 3.调用ProbeForRead检查内存是否可读写
  • 4.拷贝内存空间中的数据到自己的缓冲区内
  • 5.调用MmMapLockedPages锁定当前内存页面(写入)
  • 6.调用RtlCopyMemory内存拷贝完成写入(写入)
  • 7.调用IoFreeMdl释放MDL锁(写入)
  • 8.调用KeUnstackDetachProcess接触绑定
  • 9.调用ObDereferenceObject使对象引用数减1

写入时与读取类似,只是多了锁定页面和解锁操作。

#include <ntifs.h>

#include <windef.h>

typedef struct

{

	DWORD pid;                // 要读写的进程ID

	DWORD64 address;          // 要读写的地址

	DWORD size;               // 读写长度

	BYTE* data;               // 要读写的数据

}ReadMemoryStruct;

// MDL写内存

BOOL MDLWriteMemory(ReadMemoryStruct* data)

{

	BOOL bRet = TRUE;

	PEPROCESS process = NULL;

	PsLookupProcessByProcessId(data->pid, &process);

	if (process == NULL)

	{

		return FALSE;

	}

	BYTE* GetData;

	__try

	{

		GetData = ExAllocatePool(PagedPool, data->size);

	}

	__except (1)

	{

		return FALSE;

	}

	for (int i = 0; i < data->size; i++)

	{

		GetData[i] = data->data[i];

	}

	KAPC_STATE stack = { 0 };

	KeStackAttachProcess(process, &stack);

	PMDL mdl = IoAllocateMdl(data->address, data->size, 0, 0, NULL);

	if (mdl == NULL)

	{

		return FALSE;

	}

	MmBuildMdlForNonPagedPool(mdl);

	BYTE* ChangeData = NULL;

	__try

	{

		ChangeData = MmMapLockedPages(mdl, KernelMode);

		RtlCopyMemory(ChangeData, GetData, data->size);

	}

	__except (1)

	{

		bRet = FALSE;

		goto END;

	}

END:

	IoFreeMdl(mdl);

	ExFreePool(GetData);

	KeUnstackDetachProcess(&stack);

	ObDereferenceObject(process);

	return bRet;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

	DbgPrint(("Uninstall Driver Is OK \n"));

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint(("hello lyshark \n"));

	ReadMemoryStruct ptr;

	ptr.pid = 6672;

	ptr.address = 0x402c00;

	ptr.size = 5;

	// 需要写入的数据

	ptr.data = ExAllocatePool(PagedPool, ptr.size);

	// 循环设置

	for (size_t i = 0; i < 5; i++)

	{

		ptr.data[i] = 0x90;

	}

	// 写内存

	MDLWriteMemory(&ptr);

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

写出效果如下:

驱动开发:内核MDL读写进程内存的更多相关文章

  1. 驱动读写进程内存R3,R0通信

    stdafx.h 头文件代码 #ifndef _WIN32_WINNT // Allow use of features specific to Windows XP or later. #defin ...

  2. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  3. Linux驱动开发常用头文件

    头文件目录中总共有32个.h头文件.其中主目录下有13个,asm子目录中有4个,linux子目录中有10个,sys子目录中有5个.这些头文件各自的功能如下: 1.主目录 <a.out.h> ...

  4. 驱动开发:内核CR3切换读写内存

    首先CR3是什么,CR3是一个寄存器,该寄存器内保存有页目录表物理地址(PDBR地址),其实CR3内部存放的就是页目录表的内存基地址,运用CR3切换可实现对特定进程内存地址的强制读写操作,此类读写属于 ...

  5. 驱动开发:内核R3与R0内存映射拷贝

    在上一篇博文<驱动开发:内核通过PEB得到进程参数>中我们通过使用KeStackAttachProcess附加进程的方式得到了该进程的PEB结构信息,本篇文章同样需要使用进程附加功能,但这 ...

  6. 驱动开发:内核中实现Dump进程转储

    多数ARK反内核工具中都存在驱动级别的内存转存功能,该功能可以将应用层中运行进程的内存镜像转存到特定目录下,内存转存功能在应对加壳程序的分析尤为重要,当进程在内存中解码后,我们可以很容易的将内存镜像导 ...

  7. 驱动开发:内核遍历进程VAD结构体

    在上一篇文章<驱动开发:内核中实现Dump进程转储>中我们实现了ARK工具的转存功能,本篇文章继续以内存为出发点介绍VAD结构,该结构的全程是Virtual Address Descrip ...

  8. 用Visual studio2012在Windows8上开发内核驱动监视进程创建

    在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破.在Windows 95中,至少应用程序I/O操作是不受限制的,而在Win ...

  9. 《Windows内核安全与驱动开发》 3.2 内存与链表

    <Windows内核安全与驱动开发>阅读笔记 -- 索引目录 <Windows内核安全与驱动开发> 3.2 内存与链表 1. 尝试生成一个链表头并将其初始化. 2. 尝试向内存 ...

  10. 驱动开发:通过Async反向与内核通信

    在前几篇文章中给大家具体解释了驱动与应用层之间正向通信的一些经典案例,本章将继续学习驱动通信,不过这次我们学习的是通过运用Async异步模式实现的反向通信,反向通信机制在开发中时常被用到,例如一个杀毒 ...

随机推荐

  1. GOS会计凭证上传附件

    1.GOS介绍 GOS是一个连接文档和SAP内各种对象的工具,在SAP的一些凭证中,可以通过GOS进行附件的上传.查看和删除等功能,例如采购订单.会计凭证等. 如果没有这个按钮,可以将当前登录用户的类 ...

  2. [kuangbin]专题九 连通图 题解+总结

    kuangbin专题链接:https://vjudge.net/article/752 kuangbin专题十二 基础DP1 题解+总结:https://www.cnblogs.com/RioTian ...

  3. C++大整数类

    用法 把头文件和源代码文件放在同一目录下,然后#include"INT"即可使用.你能对int类的变量进行a=2,a+=3,a%8,a--等等操作,那你就也能对INT进行.INT基 ...

  4. poj 3246 简单线段树

    线段树还真有点难写... #include <iostream> #include <cstdio> #include <cstring> #include < ...

  5. C语言基础之理论概述

    C语言介绍 C语言是一种高级程序设计语言,由贝尔实验室的Dennis Ritchie在1972年开发.C语言是结构化编程语言,支持变量.数据类型.运算符.表达式.流程控制语句和函数等基本程序设计元素. ...

  6. Tomcat 与 JVM 中classpath的理解和设置总结

    本文为博主原创,转载请注明出处: 1.介绍 classpath是java运行时环境搜索类和其他资源文件(比如jar\zip等资源)的路径.类路径告诉JDK工具和应用程序在哪里可以找到第三方和用户定义的 ...

  7. npm, yarn和pnpm清理缓存

    .markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rg ...

  8. SV interface and Program3

    时钟域的理解 在仿真过程中,时钟跳变的一瞬间,CPU将时间域划分为不同的时钟域执行不同的代码 信号在芯片中都是金属丝,在进行跳变的时候都是电容的充放电过程,通常使用时钟上升沿进行模拟,而不使用时钟下降 ...

  9. [转帖]【Jmeter】Jmeter压力测试工具安装及使用教程(redis测试)

    摘自:https://www.cnblogs.com/monjeo/p/9330464.html 一.Jmeter下载 进入官网:http://jmeter.apache.org/ 1.第一步进入官网 ...

  10. [转帖]FIO – IO压力测试工具

    https://blog.csdn.net/younger_china/article/details/71129541 <存储工具系列文章>主要介绍存储相关的测试和调试工具,包括不限于d ...