[原创]共建美好论坛分享代码从我做起-软件逆向-看雪-安全社区|安全招聘|kanxue.com

不吃麻婆豆腐

2019-9-9 17:11

5490

前段时间因为热衷于对技术的研究用IO设备通信整了个DNF的读写 :)

发现win7 这函数居然MmCopyVirtualMemory读不到真内存(IDT真恶心口区)

但是直接MDL能直接读到(不要问我为什么不直接MDL读因为太菜了不会写)

dalao：既然MDL能直接读到为啥用 MmCopyVirtualMemory呢

我：因为 MmCopyVirtualMemory 确实挺方便的 mdl还要自己处理异常

dalao：那就给个try不就完了

我：......好的我(C)爱(N)你(M)

大家用CE的时候也会发现就算恢复了权限也还是读不到内存 (这个时候把页表恢复就能直接CE读取真内存了)

这是因为IDT保护他只会给游戏进程和System进程的线程读真页表

如果不是他就会给假页表给你读(最恶心的是假页表还有数据让你以为自己很行的亚子)

把当前线程的 _ETHREAD.Cid.ProcessID改成4 或者游戏PID 就IDT就会给你真页表了

代码：

温馨提示：

不要用MmIsAddressValid这个函数来判断游戏地址的有效性有地址就是莫名其妙的缺页他就返回失败了

这样就能读到了因为mdl需要异常处理这个函数不需要有的时候用不了异常处理就只能用这个函数来读取了

代码执行完记得把ID恢复回去不然回到R3会炸

还有为啥mdl就能读到真内存呢..他不是页表都给的是假的吗真奇怪

PS : 共建美好论坛分享代码从我做起我爱分享我爱论坛 :)

最后于 2019-9-9 17:16 被不吃麻婆豆腐编辑，原因：

收藏・7

免费・3

支持

最新回复 (4)
云才哥雪币： 222 活跃值： (185) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 279 粉丝 2 关注私信	云才哥 2 楼我要代理 2019-9-9 17:33 0
wx_靖～live 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	wx_靖～live 3 楼大佬可以加个QQ吗有问题要请教 2020-6-17 12:38 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 4 楼 666 2020-6-17 15:34 0
hhkqqs 雪币： 11988 活跃值： (5569) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 41 关注私信	hhkqqs 1 5 楼大动干戈钩了0e，判断线程身份写的这么草率 2020-10-14 22:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

不吃麻婆豆腐

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (4)
云才哥雪币： 222 活跃值： (185) 能力值： ( LV2，RANK：15 ) 在线值：发帖 9 回帖 279 粉丝 2 关注私信	云才哥 2 楼我要代理 2019-9-9 17:33 0
wx_靖～live 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	wx_靖～live 3 楼大佬可以加个QQ吗有问题要请教 2020-6-17 12:38 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 4 楼 666 2020-6-17 15:34 0
hhkqqs 雪币： 11988 活跃值： (5569) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 41 关注私信	hhkqqs 1 5 楼大动干戈钩了0e，判断线程身份写的这么草率 2020-10-14 22:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复