[原创]发一份目前可以读写DXF内存的驱动源码-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]发一份目前可以读写DXF内存的驱动源码

发表于: 2016-8-22 01:41 28025

[原创]发一份目前可以读写DXF内存的驱动源码

游乐娃子

2016-8-22 01:41

28025

编译环境是 VS2013+WDK8.1
测试环境  XP32

弄这个过保护的都知道,现在驱动动不动上千一个月,源码动不动上万,穷鬼买不起,只能自己查资料,慢慢弄.基本的读写是没问题了,但是有个特别别扭的问题,发出来,希望有好心人能指点下该怎么弄.

源码只是自己拿来测试的,所以写得不是很规范,不过也就那么几行代码,所以也不算很乱.

代码基本上是  从 Tesla.Angela。那里抄的.
http://bbs.pediy.com/showthread.php?t=187348

代码只完成了读取部分,写入部分自己参照  Tesla.Angela 教程里面的 [5-5]强制读写进程内存.pdf课程修改加入即可,改改估计WIN 64位系统应该也可以实现.

发出来主要是学习,我对驱动也是什么都不懂,查了几天的资料,也只能写这样吧 .

说说遇到的别扭的问题.
测试发现,userMode的时候,读取到的内存都是乱码,只有KernelMode的时候读取到的才是真实的内存数据.

所以源码中,在调用 DeviceIoControl 进来的时候,创建内核线程来读取内存,这样就能读写到了.

但是,看着总是很别扭,尝试修改线程 PreviousMode ,但是没有用,也不知道是不是这样修改,至少修改后 ExGetPreviousMode()得到的结果却是是 kernelmode了 .

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

WRMemory3.rar （151.95kb，935次下载）
1.png （703.82kb，178次下载）

收藏・45

免费・3

支持

最新回复 (30) 1 2 ▶
游乐娃子雪币： 7559 活跃值： (5397) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 2 楼源码中带有简单的调用例子. 有人会不创建线程读取的,麻烦告诉下呗 2016-8-22 01:42 0
影子不寂寞雪币： 6 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 349 粉丝 1 关注私信	影子不寂寞 3 楼谢谢楼主分享技术帖 2016-8-22 01:45 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 4 楼谢谢楼主分享技术帖 2016-8-22 03:00 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 5 楼感谢发布。。。。。。 2016-8-22 07:23 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 6 楼真实原理是system进程可以读写跟kernelmode不kernelmode没什么关系 2016-8-22 08:24 0
hekes 雪币： 4939 活跃值： (2360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 228 粉丝 7 关注私信	hekes 7 楼 mark 2016-8-22 09:03 0
靴子雪币： 22 活跃值： (453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 525 粉丝 1 关注私信	靴子 8 楼马克 2016-8-22 09:19 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 9 楼 V总爆料了，大家都去模拟那进程访问把，就可以了 2016-8-22 09:40 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 10 楼以前csrss进程也可以读写，现在貌似也不行了。 2016-8-22 09:42 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 11 楼 csrss进程也可以读写，只是需要是真的csrss。 PS：其实smss也能读写 2016-8-22 10:21 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 12 楼 ..你这个代码跟你这个没任何关系，那是通过CR3来的，dxx 是替换CR3来实现的，没用 2016-8-22 11:47 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 13 楼原理虽然不在这里但是SYSTEM是被过滤的。 2016-8-22 12:27 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 14 楼果然一夜之间大神把所有方法都爆出来了，感情真的很牛呀。 2016-8-22 14:46 0
游乐娃子雪币： 7559 活跃值： (5397) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 15 楼原来是这样,明白了,谢谢 2016-8-22 14:58 0
asuralove 雪币： 193 活跃值： (1023) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 2 关注私信	asuralove 16 楼这个在TX白名单里面的进程是可以读取的 2016-8-22 14:59 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 17 楼我用的是CsrGetProcessId得到的csrss进程ID 2016-8-22 15:37 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 18 楼其实注入模块到csrss里面再直接ReadProcessMemory就可以了。 tx如果禁止csrss读取dxf内存，就会导致dxf进程报错，这个我试过，所以他必须过滤掉csrss smss这些system进程 2016-8-24 15:20 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 19 楼这种跳板如何保证效率如果调试数据没问题那种1秒几百次上千循环，那一语言那循环恐怖一B 基本要和系统那个读写一样效率，才能保证他们那些循环的效率 2016-8-24 15:28 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 20 楼忘记引用了 2016-8-24 15:29 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 21 楼活该谁让你用易语言写那种循环了。。。易语言本来就不适合用来写跟系统紧密相关的东西 2016-8-24 17:13 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 22 楼也就是市面上还有另外一种不是跳板的读写，要不易语言要死猜测是模拟成系统白名单或者可信进程决无可能是跳板跳板注入，调试分析，都不错强力读写就不行了 2016-8-25 04:57 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 23 楼进程名叫csrss.exe就行，CF的驱动有点弱智用PsGetProcessImageFileName判断csrss的 2016-8-25 22:08 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 24 楼那么弱。。。 2016-8-26 07:07 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 25 楼对于64位，某些地址写内存的时候，确实可以写进去，然后整个内存块的代码都跟着秒变了，接下来就会导致进程运行乱码而崩溃(暂停就不会崩溃) 由于未发现内核Hook，所以很可能被VT给隐藏了结果是下cc断点也会秒崩溃，反调试和防止写内存两不误 2016-10-24 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

游乐娃子

发帖

252

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
游乐娃子雪币： 7559 活跃值： (5397) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 2 楼源码中带有简单的调用例子. 有人会不创建线程读取的,麻烦告诉下呗 2016-8-22 01:42 0
影子不寂寞雪币： 6 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 349 粉丝 1 关注私信	影子不寂寞 3 楼谢谢楼主分享技术帖 2016-8-22 01:45 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 4 楼谢谢楼主分享技术帖 2016-8-22 03:00 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 5 楼感谢发布。。。。。。 2016-8-22 07:23 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 6 楼真实原理是system进程可以读写跟kernelmode不kernelmode没什么关系 2016-8-22 08:24 0
hekes 雪币： 4939 活跃值： (2360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 228 粉丝 7 关注私信	hekes 7 楼 mark 2016-8-22 09:03 0
靴子雪币： 22 活跃值： (453) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 525 粉丝 1 关注私信	靴子 8 楼马克 2016-8-22 09:19 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 9 楼 V总爆料了，大家都去模拟那进程访问把，就可以了 2016-8-22 09:40 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 10 楼以前csrss进程也可以读写，现在貌似也不行了。 2016-8-22 09:42 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 11 楼 csrss进程也可以读写，只是需要是真的csrss。 PS：其实smss也能读写 2016-8-22 10:21 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 12 楼 ..你这个代码跟你这个没任何关系，那是通过CR3来的，dxx 是替换CR3来实现的，没用 2016-8-22 11:47 0
落笔飞花雪币： 719 活跃值： (777) 能力值： ( LV8，RANK：120 ) 在线值：发帖 70 回帖 458 粉丝 61 关注私信	落笔飞花 1 13 楼原理虽然不在这里但是SYSTEM是被过滤的。 2016-8-22 12:27 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 14 楼果然一夜之间大神把所有方法都爆出来了，感情真的很牛呀。 2016-8-22 14:46 0
游乐娃子雪币： 7559 活跃值： (5397) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 51 关注私信	游乐娃子 15 楼原来是这样,明白了,谢谢 2016-8-22 14:58 0
asuralove 雪币： 193 活跃值： (1023) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 2 关注私信	asuralove 16 楼这个在TX白名单里面的进程是可以读取的 2016-8-22 14:59 0
helyna 雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	helyna 17 楼我用的是CsrGetProcessId得到的csrss进程ID 2016-8-22 15:37 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 18 楼其实注入模块到csrss里面再直接ReadProcessMemory就可以了。 tx如果禁止csrss读取dxf内存，就会导致dxf进程报错，这个我试过，所以他必须过滤掉csrss smss这些system进程 2016-8-24 15:20 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 19 楼这种跳板如何保证效率如果调试数据没问题那种1秒几百次上千循环，那一语言那循环恐怖一B 基本要和系统那个读写一样效率，才能保证他们那些循环的效率 2016-8-24 15:28 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 20 楼忘记引用了 2016-8-24 15:29 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 21 楼活该谁让你用易语言写那种循环了。。。易语言本来就不适合用来写跟系统紧密相关的东西 2016-8-24 17:13 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 22 楼也就是市面上还有另外一种不是跳板的读写，要不易语言要死猜测是模拟成系统白名单或者可信进程决无可能是跳板跳板注入，调试分析，都不错强力读写就不行了 2016-8-25 04:57 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 23 楼进程名叫csrss.exe就行，CF的驱动有点弱智用PsGetProcessImageFileName判断csrss的 2016-8-25 22:08 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 24 楼那么弱。。。 2016-8-26 07:07 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 25 楼对于64位，某些地址写内存的时候，确实可以写进去，然后整个内存块的代码都跟着秒变了，接下来就会导致进程运行乱码而崩溃(暂停就不会崩溃) 由于未发现内核Hook，所以很可能被VT给隐藏了结果是下cc断点也会秒崩溃，反调试和防止写内存两不误 2016-10-24 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复