经常遇到一些软件被保护起来,无法读取其内存数据,今天将基于开源库BlackBone,编写一个简单的内存读写工具。
这里写了个工具,界面如下图所示:
主要功能:
工具会根据“读取方式”,分别执行Windows API、BlackBone API、BlackBone驱动三种方式的内存读取,满足不同的使用场景。
本工具工程github代码地址:https://github.com/ninecents/MyOpen
本工具工程代码上传了BlackBone的VS2017版本的代码,地址为https://github.com/ninecents/MyOpen/third/Blackbone。
本工具工程代码地址为https://github.com/ninecents/MyOpen/course/WinDriver/tools/tools.sln。
不了解BlackBone的,可以参考BlackBone介绍。
驱动环境搭建可参考 [Windows驱动开发] 00_环境搭建 。
集成步骤:
tools-MFC工程中“C/C++ -> 命令行”,添加Blackbone路径/I"../../../../third/Blackbone/src"
代码中引用相关头文件,如下所示:
点击读取按钮,先检测参数,具体代码如下所示:
ReadProcessMemory实现很简单,直接调用该函数即可:
查看ReadProcessMemory函数原型:
参数 lpBaseAddress 的类型是LPVOID,对于32位程序,该值只有4字节,读取64位进程就只能看运气了,如果地址大于4字节,读取的结果是错的(也可能直接失败)。比如,我们读取64位的chrome进程,由于chrome.exe模块地址0x13F630000大于4字节,ReadProcessMemory显示错误的内容。
BlackBone_R3方式实现也很简单,直接调用BlackBone的api函数即可:
BlackBone_R3方式最终调用了Nt函数NtWow64ReadVirtualMemory64(32位的Windows操作系统不知道是不是下面的调用关系),调用关系如下:
BlackBone_R0方式实现如下:
最终R3层调用了DriverControl::ReadMem函数,对应控制码是IOCTL_BLACKBONE_COPY_MEMORY。
而R0层调用了BBCopyMemory函数,而该函数调用了内核API函数MmCopyVirtualMemory实现内存读写。
打开虚拟机,将win64udl_exe.exe、tools-MFC.exe、BlackBoneDrv7.sys拷贝到虚拟机中,运行win64udl_exe.exe程序(不要关闭,保证未签名的BlackBoneDrv7.sys可以正常加载):
打开tools-MFC.exe,选择任意进程,选择读取方式为“blackbone_R0”,点击读取按钮:运行结果如下图所示:
本文章仅供用于技术研究用途,请勿利用文章内容操作用于违反法律的事情。
欢迎各位关注公众号和QQ群进行技术交流,关注有福利喔。
微信公众号:
qq群:IT技术控/953949723
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2020-3-2 21:50
被kinghzking编辑
,原因: