-
-
[第3次更新(2010.02.07)|原创]忙里偷闲中写的一个系统物理/虚拟内存查看器
-
发表于: 2010-1-11 12:42
-
[原创]忙里偷闲中写的一个系统物理/虚拟地址内容查看器
都是老技术,没啥新意。
为了方便我在调试中要了解虚拟或物理内存的情况编写的,懒得装WinDbg的情况下比
较方便。
程序在gccNTDrvFrame(我以前写的gcc下的NT驱动通用开发包)的基础上扩
展,并且由于直接使用微软“特有”的__try,__except功能方便些,故和VC 2008生成
的obj一起连接,此外使用了MASM32V10.0写了关分页传送数据部分的代码。GUI全部
用SDK编写,没有用任何图形库。所以程序体积较小(压缩后50KB)。
程序可以在 win2k(SP4)、winXP(SP3)、win2k3(SP1)、win7下使用(因为手上没有vista和win2k8的系统故无法测试。)但在win7下不要使用关分页机制读写物理内存的功能,否则必蓝!虽然我作了较多内核中的有效性检查,但是仍不敢保证会在某些情况下造成系统崩溃,所以请尽量不要在关键机器上使用,造成的损失概不负责哦。:)
程序运行要拥有SE_DEBUG特权和安装驱动权限,在vista或win7下要"以管理员身份运行"。 还是那句老话:本人以人格担保其加载的驱动程序绝对不含有木马、病毒之类的无聊玩意,请各位放心下载使用,如有bug请跟帖反馈,谢谢。
上图文字看不清楚,再介绍下,我使用了多种方法来读写虚拟或物理地址:
VirtualMem :表示操作的是进程虚拟地址。
CR3 Direct : 通过直接设置CR3寄存器读写进程虚拟地址。
如果没有选择该项表示以常规的方法KeStackAttachProcess读写进程
虚拟地址。(虚拟地址读写前,要选择一个进程。),
PhysicalMem:表示操作的是物理地址
CP : 以关分页的方法读写物理地址,一次性最大读取/写入2048字节。
PM R/W LITE : 直接构造PDE的方法读写物理地址,一次性最大读
取/写入4096字节。
如果没有选择以上2项,则以常规方式读写物理地址MmMapIoSpace。
程序暂时做了限制,写入大小一次只能4字节,但函数接口上不止这么多。
NEW :
第3次更新内容:
增强了了对以下OS的兼容性: windows 2000(SP4) , windows XP(SP3) ,windows 2003(SP1), windows 7,由于没有环境故没有测试windows vista 和 windows 2008。
增加了Token和Unlocker轻便的功能 。
(以上所有均是点击看大图)
mmguy 最新v1.2.9.0版本下载地址 : http://hopy.bokee.com/inc/mmguy.7z (50KB)
都是老技术,没啥新意。
为了方便我在调试中要了解虚拟或物理内存的情况编写的,懒得装WinDbg的情况下比
较方便。
程序在gccNTDrvFrame(我以前写的gcc下的NT驱动通用开发包)的基础上扩
展,并且由于直接使用微软“特有”的__try,__except功能方便些,故和VC 2008生成
的obj一起连接,此外使用了MASM32V10.0写了关分页传送数据部分的代码。GUI全部
用SDK编写,没有用任何图形库。所以程序体积较小(压缩后50KB)。
程序可以在 win2k(SP4)、winXP(SP3)、win2k3(SP1)、win7下使用(因为手上没有vista和win2k8的系统故无法测试。)但在win7下不要使用关分页机制读写物理内存的功能,否则必蓝!虽然我作了较多内核中的有效性检查,但是仍不敢保证会在某些情况下造成系统崩溃,所以请尽量不要在关键机器上使用,造成的损失概不负责哦。:)
程序运行要拥有SE_DEBUG特权和安装驱动权限,在vista或win7下要"以管理员身份运行"。 还是那句老话:本人以人格担保其加载的驱动程序绝对不含有木马、病毒之类的无聊玩意,请各位放心下载使用,如有bug请跟帖反馈,谢谢。
上图文字看不清楚,再介绍下,我使用了多种方法来读写虚拟或物理地址:
VirtualMem :表示操作的是进程虚拟地址。
CR3 Direct : 通过直接设置CR3寄存器读写进程虚拟地址。
如果没有选择该项表示以常规的方法KeStackAttachProcess读写进程
虚拟地址。(虚拟地址读写前,要选择一个进程。),
PhysicalMem:表示操作的是物理地址
CP : 以关分页的方法读写物理地址,一次性最大读取/写入2048字节。
PM R/W LITE : 直接构造PDE的方法读写物理地址,一次性最大读
取/写入4096字节。
如果没有选择以上2项,则以常规方式读写物理地址MmMapIoSpace。
程序暂时做了限制,写入大小一次只能4字节,但函数接口上不止这么多。
NEW :
第3次更新内容:
增强了了对以下OS的兼容性: windows 2000(SP4) , windows XP(SP3) ,windows 2003(SP1), windows 7,由于没有环境故没有测试windows vista 和 windows 2008。
增加了Token和Unlocker轻便的功能 。
(以上所有均是点击看大图)
mmguy 最新v1.2.9.0版本下载地址 : http://hopy.bokee.com/inc/mmguy.7z (50KB)
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
我也用GCC 对着方面感兴趣 楼主能详细说下或提供下相关代码吗
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
