经常遇到一些软件被保护起来，无法读取其内存数据，今天将基于开源库BlackBone，编写一个简单的内存读写工具。

这里写了个工具，界面如下图所示：

主要功能：

工具会根据“读取方式”，分别执行Windows API、BlackBone API、BlackBone驱动三种方式的内存读取，满足不同的使用场景。

本工具工程github代码地址：https://github.com/ninecents/MyOpen

本工具工程代码上传了BlackBone的VS2017版本的代码，地址为https://github.com/ninecents/MyOpen/third/Blackbone。

本工具工程代码地址为https://github.com/ninecents/MyOpen/course/WinDriver/tools/tools.sln。

不了解BlackBone的，可以参考BlackBone介绍。

驱动环境搭建可参考 [Windows驱动开发] 00_环境搭建 。

集成步骤：

tools-MFC工程中“C/C++ -> 命令行”，添加Blackbone路径/I"../../../../third/Blackbone/src"

代码中引用相关头文件，如下所示：

点击读取按钮，先检测参数，具体代码如下所示：

ReadProcessMemory实现很简单，直接调用该函数即可：

查看ReadProcessMemory函数原型：

参数 lpBaseAddress 的类型是LPVOID，对于32位程序，该值只有4字节，读取64位进程就只能看运气了，如果地址大于4字节，读取的结果是错的(也可能直接失败)。比如，我们读取64位的chrome进程，由于chrome.exe模块地址0x13F630000大于4字节，ReadProcessMemory显示错误的内容。

BlackBone_R3方式实现也很简单，直接调用BlackBone的api函数即可：

BlackBone_R3方式最终调用了Nt函数NtWow64ReadVirtualMemory64（32位的Windows操作系统不知道是不是下面的调用关系），调用关系如下：

BlackBone_R0方式实现如下：

最终R3层调用了DriverControl::ReadMem函数，对应控制码是IOCTL_BLACKBONE_COPY_MEMORY。

而R0层调用了BBCopyMemory函数，而该函数调用了内核API函数MmCopyVirtualMemory实现内存读写。

打开虚拟机，将win64udl_exe.exe、tools-MFC.exe、BlackBoneDrv7.sys拷贝到虚拟机中，运行win64udl_exe.exe程序（不要关闭，保证未签名的BlackBoneDrv7.sys可以正常加载）：

打开tools-MFC.exe，选择任意进程，选择读取方式为“blackbone_R0”，点击读取按钮：运行结果如下图所示：

本文章仅供用于技术研究用途,请勿利用文章内容操作用于违反法律的事情。

欢迎各位关注公众号和QQ群进行技术交流，关注有福利喔。

微信公众号：

qq群：IT技术控/953949723

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！