首页 > 其他分享 >驱动保护 -- 读取被保护的数据(第二种方法)

驱动保护 -- 读取被保护的数据(第二种方法)

时间:2023-04-18 15:35:20浏览次数:36  
标签:读取 TINPUT -- 保护 内存 PVOID BUF pirp

一、获取被保护数据,驱动块源码(第二种方法)

BOOLEAN KReadProcessMemory2(IN PEPROCESS 目标进程, IN PVOID 目标地址, IN UINT32 目标长度, IN PVOID 返回数据)
{


  KAPC_STATE apc_state;
  RtlZeroMemory(&apc_state, sizeof(KAPC_STATE));
  //创建MDL来读取内存
  PMDL 映射内存结构 = IoAllocateMdl(返回数据, 目标长度, 0, 0, NULL);
  if (!映射内存结构)
  {
    return FALSE;
  }
  //将映射内存变成可读
  MmBuildMdlForNonPagedPool(映射内存结构);
  //获取可读的地址
  unsigned char* 可读内存 = (unsigned char*)MmMapLockedPages(映射内存结构, KernelMode); 
  if (!可读内存)
  { 
    IoFreeMdl(映射内存结构);
    return FALSE;
  }
  //切换到目标进程进行操作
  KeStackAttachProcess((PVOID)目标进程, &apc_state);


  //判断该地址是否可读
  BOOLEAN 是否可读 = MmIsAddressValid(目标地址);
  if (是否可读)
  {


    RtlCopyMemory(可读内存, 目标地址, 目标长度); 


  }
  else
  {
    KdPrint(("nxyn2不可读"));
  }
  //恢复环境
  KeUnstackDetachProcess(&apc_state);
  MmUnmapLockedPages((PVOID)可读内存, 映射内存结构);
  IoFreeMdl(映射内存结构);


  return 是否可读;
}




int ReadProcessMemoryForPid2(UINT32 dwPid, PVOID 读取地址, PVOID 读取内容, UINT32 读取大小)
{
  //根据pid获取PEPROCESS
  PEPROCESS Seleted_pEPROCESS = NULL;
  if (PsLookupProcessByProcessId((PVOID)(UINT_PTR)(dwPid), &Seleted_pEPROCESS) == STATUS_SUCCESS)
  {


    BOOLEAN br = KReadProcessMemory2(Seleted_pEPROCESS, (PVOID)读取地址, 读取大小, 读取内容);
    ObDereferenceObject(Seleted_pEPROCESS);
    if (br)
    {
      return 读取大小;
    }
  }
  else
  {
    KdPrint(("nxyn 2读取失败"));
  }


  return 0;


}


NTSTATUS  IRP_ReadProcessMemory2(PIRP pirp)
{




  NTSTATUS ntStatus = STATUS_SUCCESS;
  PIO_STACK_LOCATION     irpStack = NULL;
  irpStack = IoGetCurrentIrpStackLocation(pirp);


#pragma pack(push)
#pragma pack(8)
  typedef struct TINPUT_BUF
  {
    UINT64 dwPid;//目标进程PID
    PVOID pBase; //目标进程地址
    UINT64 nSize;//要读取的长度


  }TINPUT_BUF;
#pragma pack(pop)




  TINPUT_BUF* 输入数据 = (TINPUT_BUF*)(pirp->AssociatedIrp.SystemBuffer);




  ReadProcessMemoryForPid2(输入数据->dwPid, 输入数据->pBase, 输入数据/*保存读取的数据*/, 输入数据->nSize);




  if (irpStack) //
  {
    if (ntStatus == STATUS_SUCCESS)
    { //成功则返回 缓冲区大小
      pirp->IoStatus.Information = irpStack->Parameters.DeviceIoControl.OutputBufferLength;//DeviceIoControl
    }
    else
    { //失败则不返回
      pirp->IoStatus.Information = 0;
    }
    //完成请求
    IoCompleteRequest(pirp, IO_NO_INCREMENT);
  }


  pirp->IoStatus.Status = ntStatus;
  return ntStatus;
}

二、在头文件添加函数声明

NTSTATUS  IRP_ReadProcessMemory2(PIRP pirp);

三、控制码实现代码

#define irp读被保护数据2   CTL_CODE(FILE_DEVICE_UNKNOWN, 0x807,     METHOD_BUFFERED,FILE_ANY_ACCESS)


else if(控制码== irp读被保护数据2)
    {
      return IRP_ReadProcessMemory2(IRP指针);
    }

四、MFC实现

1、界面添加一个按钮

驱动保护 -- 读取被保护的数据(第二种方法)_数据

2、代码实现

#define irp读被保护数据2   CTL_CODE(FILE_DEVICE_UNKNOWN, 0x807,     METHOD_BUFFERED,FILE_ANY_ACCESS)


void CtestDlg::OnBnClickedButtonDqbbhsj2()
{
#pragma pack(push)
#pragma pack(8)
  typedef struct TINPUT_BUF
  {
    UINT64 dwPid;//目标进程PID
    PVOID pBase; //目标进程地址
    UINT64 nSize;//要读取的长度


  }TINPUT_BUF;
#pragma pack(pop)


  UpdateData(true);
  DWORD 返回字节数 = 0;
  DWORD 临时数据 = 0;
  UINT_PTR 地址 = 0x7FF7F8F20000;
  TINPUT_BUF 输入缓存区 = { mbpid,(PVOID)地址,4 };
  DeviceIoControl(
    设备句柄,
    irp读被保护数据2,
    &输入缓存区,
    sizeof(TINPUT_BUF),
    &临时数据,
    sizeof(临时数据),
    &返回字节数,
    NULL
  );
  char 缓存[256];
  sprintf_s(缓存, "2读取被保护值%X", 临时数据);
  ::MessageBoxA(0, 缓存, "2读被保护测试", MB_OK);


}

五、运行效果,两种方法都可读取

驱动保护 -- 读取被保护的数据(第二种方法)_内存结构_02


标签:读取,TINPUT,--,保护,内存,PVOID,BUF,pirp
From: https://blog.51cto.com/u_15288375/6203462

相关文章

  • 开源即时通讯IM框架MobileIMSDK的微信小程序端技术概览
    一、基本介绍MobileIMSDK-微信小程序端是一套基于微信原生WebSocket的即时通讯库:1)超轻量级、无任何第3方库依赖(开箱即用);2)纯JS编写、ES6语法、高度提炼,简单易用;3)基于微信原生WebSocketAPI,简洁优雅;4)支持运行于任何支持微信小程序的手机端;5)能与 MobileIMSDK 的各......
  • 驱动保护 -- 读取被保护的数据(第二种方法)
    一、获取被保护数据,驱动块源码(第二种方法)BOOLEANKReadProcessMemory2(INPEPROCESS目标进程,INPVOID目标地址,INUINT32目标长度,INPVOID返回数据){KAPC_STATEapc_state;RtlZeroMemory(&apc_state,sizeof(KAPC_STATE));//创建MDL来读取内存PMDL映射内......
  • “衰老标志物”重磅综述:细胞衰老、器官衰老、衰老时钟及其应用
    大家好,这里是专注表观组学十余年,领跑多组学科研服务的易基因。随着人口老龄化程度不断加深,实现“健康老龄化(healthyaging)”已成为我国乃至世界迫切需要解决的重大社会和科学问题。据测算,我国60岁及以上老年人口将在2035年前后突破4亿,总人口占比将超过30%,进入重度老龄化阶段。衰......
  • 驱动保护 -- 读取被保护的数据(第二种方法)
    一、获取被保护数据,驱动块源码(第二种方法)BOOLEANKReadProcessMemory2(INPEPROCESS目标进程,INPVOID目标地址,INUINT32目标长度,INPVOID返回数据){KAPC_STATEapc_state;RtlZeroMemory(&apc_state,sizeof(KAPC_STATE));//创建MDL来读取内存PMDL映射内......
  • Python格式化字符格式化
    Python格式化字符%s%d%f格式描述%%百分号标记#就是输出一个%%c字符及其ASCII码%s字符串%d有符号整数(十进制)%u无符号整数(十进制)%o无符号整数(八进制)%x无符号整数(十六进制)%X无符号整数(十六进制大写字符)%e浮点数字(科学计数法)%E浮点数字(科学计......
  • 大数据的快速崛起,离不开数据、区块链和算法的支持
    事实上,自2001年来,大数据已然呈现出爆炸式增长。经过多年发展,大数据的应用已经帮助我们开发了更多、更高端的技术在我们的工作、生活中。与此同时,大数据也衍生出了其他技术,比如人工智能、机器学习等。那么,放眼未来,大数据又将如何开启新征程?1.通过数据,更好赋权这个意思就是我们应该给......
  • Shell脚本--test/[]和[[]]
    0. 序言test([])和[[]] 在Shell 中都是用来检测某个条件是否成立。通过附带选项,可以进行数值、字符串和文件三个方面的检测。0.1. 与数值比较相关的选项num1-eqnum2判断num1是否和num2相等num1-nenum2判断num1是否和num2不相等num1-gtnum2......
  • 大数据的安全防护,带来了哪些全新的挑战,建设数据防护体系的思路是什么?
    大数据时代,数据的产生、流通和应用更加普遍和密集。然而,新的技术、新的需求和新的应用场景给数据安全防护带来了全新的挑战。一是新技术带来的挑战。分布式计算存储架构、数据深度发掘及可视化等新型技术能够大大提升数据资源的存储规模和处理能力,但也为数据安全保护带来......
  • 假阳性与假阴性
    假阳性(falsepositive)指的是在实验或测试中,被错误地判断为“有某种物质”、“某种情况存在”等,而事实上并不存在该物质或情况的情况。例如,在进行病毒检测时,病毒检测呈现了阳性结果,但事实上患者并未感染病毒。假阴性(falsenegative)指的是在实验或测试中,被错误地判断为“没有某种物......
  • 对于数据分析的初学者,还是看些比较入行的实用书籍好
    本人学习数据分析有一两年了,现在在职于一家外资行业,看到很多小白涌入数据分析行业,我就给大家推荐几本有用的书籍,供大家参考,合适的话你们可以看看,或者决定是否踏入数据分析这一个行业:1.《深入浅出数据分析》:讲了数据分析到底是干什么的?数据分析都包含什么内容?对新人们还是有一定的作......