[原创]Windows应用层实现VmWare穿透读写，实现无签名驱动加载。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]Windows应用层实现VmWare穿透读写，实现无签名驱动加载。

发表于: 2023-2-21 12:58 32344

[原创]Windows应用层实现VmWare穿透读写，实现无签名驱动加载。

学技术打豆豆

2023-2-21 12:58

32344

写这个东西，最开始是无聊，无聊，很无聊，后面想想在windows三环直接操控VmWare里面WIN10的内存，这不就相当于实现了一套简易版的windows内存解析，对学习和了解内存是非常方便的事情，甚至说对了解整个windows内核都是一个有益的事情，因为实现这么个框架的话，我在三环就可以随意修改内核里面的数据，去验证和学习底层知识（如内存、注册表、对象管理器等等），抱着这样的目的，差不多写了两个星期，完成了一个简易版的框架(DEMO)，里面的知识仅仅需要一点点C语言、汇编、PE、保护模式、windows内核方面的知识，就能了解原理，因为里面的知识大部分都是网上有的，我只是这些代码的搬运工然后糅合成一个工程，里面我写了大量的注释，让不会的哥们也能一目了然，不说了，先上效果图。

具体原理就直接看代码吧，写起来太麻烦了，里面的注释写的比较完善了。

因为我这段时间需要准备应付面试找工作了，这个DEMO有很多未完成的地方，有可能以后会完成，有可能过了这个兴趣时间，懒得写了，有兴趣的哥们可以自行完善，上面的内存解析，我只完成了部分功能(已经可以完成我目前的需求)，pagefile.sys/subsection/win10的压缩内存解析我暂时没写,这个解析不难，麻烦的是需要调用VmWare的磁盘API去读扇区然后解析NTFS，这个对于我来说，需要浪费很多时间，以后有空再写吧。

所以，我走了一个捷径：关闭win10的分页文件，重启！后续完成了上面的NTFS解析后再来测试这一块。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2023-2-21 12:59 被学技术打豆豆编辑，原因：

#调试逆向 #系统底层

收藏・101

免费・26

支持

赞赏记录

参与人

雪币

留言

时间

沉迷于

非常支持你的观点！

2024-11-9 11:19

laibaxiao

你的分享对大家帮助很大，非常感谢！

2024-6-21 18:17

shishichen

为你点赞~

2024-3-28 14:44

Lnju

为你点赞~

2023-11-25 12:12

mb_yfioexda

为你点赞~

2023-8-22 10:46

mb_pdeivpxj

为你点赞~

2023-8-9 10:40

伯爵的信仰

为你点赞~

2023-8-7 00:03

zhang_derek

为你点赞~

2023-4-3 17:33

_重黎

为你点赞~

2023-4-1 13:01

CanineTooth

为你点赞~

2023-4-1 13:00

tzl

为你点赞~

2023-3-28 14:42

李庆

为你点赞~

2023-3-21 21:01

gid

为你点赞~

2023-3-18 17:25

hhkqqs

为你点赞~

2023-3-10 00:46

99JW99

为你点赞~

2023-3-8 23:25

逍遥m

为你点赞~

2023-3-8 19:56

ezre

为你点赞~

2023-3-6 15:14

御剑残风

为你点赞~

2023-3-5 15:33

dearfuture

为你点赞~

2023-2-27 11:48

704088

为你点赞~

2023-2-23 12:18

zhczf

为你点赞~

2023-2-22 15:12

ashLL

为你点赞~

2023-2-22 09:10

Grav1ty

为你点赞~

2023-2-22 07:49

未签收

为你点赞~

2023-2-21 22:18

一笑人间万事

为你点赞~

2023-2-21 20:30

一半人生

为你点赞~

2023-2-21 18:41

最新回复 (38) 1 2 ▶
天月雪币： 2541 活跃值： (1933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	天月 2 楼狠到了 2023-2-21 13:06 0
fengyunabc 雪币： 3738 活跃值： (3872) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 3 楼顶！！！ 2023-2-21 13:19 0
fengyunabc 雪币： 3738 活跃值： (3872) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 4 楼继续顶！豆总牛逼！！！ 2023-2-21 13:20 0
学技术打豆豆雪币： 198 活跃值： (8558) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 372 关注私信	学技术打豆豆 1 5 楼 fengyunabc 继续顶！豆总牛逼！！！ 2023-2-21 13:20 0
TkBinary 雪币： 871 活跃值： (9841) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 6 楼奈何自己没文化,一句卧槽走天下. 卧槽! 2023-2-21 13:24 0
绿色玩家999 雪币： 56 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 32 粉丝 7 关注私信	绿色玩家999 7 楼狠 2023-2-21 13:56 0
tank小王子雪币： 12453 活跃值： (9422) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 152 粉丝 1 关注私信	tank小王子 8 楼奈何自己没文化,一句牛逼走天下. 牛逼! 2023-2-21 15:21 0
半个大西瓜雪币： 1411 活跃值： (737) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 26 粉丝 7 关注私信	半个大西瓜 9 楼太顶了 2023-2-21 16:38 0
小希希雪币： 1810 活跃值： (4020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 335 粉丝 18 关注私信	小希希 10 楼顶,厉害 2023-2-21 16:59 0
iaoedsz2018 雪币： 1206 活跃值： (1909) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	iaoedsz2018 11 楼大佬太猛了 2023-2-21 19:45 0
小希希雪币： 1810 活跃值： (4020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 335 粉丝 18 关注私信	小希希 12 楼请问虚拟机是什么版本? 2023-2-21 21:12 0
xdlakx 雪币： 630 活跃值： (570) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 98 粉丝 0 关注私信	xdlakx 13 楼奈何自己没文化,一句卧槽牛逼走天下. 卧槽牛逼! 2023-2-21 21:13 0
VCKFC 雪币： 9941 活跃值： (2143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 319 粉丝 16 关注私信	VCKFC 14 楼这水平,工作还要找吗? 2023-2-21 22:07 0
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 242 粉丝 14 关注私信	AperOdry 15 楼狠 2023-2-21 23:08 0
Grav1ty 雪币： 1862 活跃值： (4146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 44 粉丝 3 关注私信	Grav1ty 16 楼 666 2023-2-22 07:49 0
LoveXY 雪币： 32 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	LoveXY 17 楼啊，一点点知识就够了。对对，亿点点就够了 2023-2-22 09:00 0
冰雄雪币： 1485 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 18 楼思路不错。借用其他有签名的软件实现。但有个问题如果系统有杀毒软件就会被拦截。还需要处理这个才能真正穿透 2023-2-22 09:03 1
厌倦雪币： 1464 活跃值： (1913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 1 关注私信	厌倦 19 楼无敌 2023-2-22 09:34 0
学技术打豆豆雪币： 198 活跃值： (8558) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 372 关注私信	学技术打豆豆 1 20 楼冰雄思路不错。借用其他有签名的软件实现。但有个问题如果系统有杀毒软件就会被拦截。还需要处理这个才能真正穿透没，不需要借助有签名的文件，那样就没有啥技术含量，虽然这个也没什么技术含量。 2023-2-22 19:13 0
拍拖雪币： 1790 活跃值： (3786) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 262 粉丝 9 关注私信	拍拖 2 21 楼支持分享，向楼主学习下。 2023-3-3 16:38 0
小白养的菜鸡雪币： 2458 活跃值： (4586) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 50 粉丝 40 关注私信	小白养的菜鸡 22 楼这水平,工作还要找吗? 2023-3-6 09:18 0
sunsjw 雪币： 8761 活跃值： (5220) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 23 楼咱也看不懂，咱也不敢说。 2023-3-6 09:49 0
冰雄雪币： 1485 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 24 楼楼主跟这个加载无签名驱动工具原理一样的吧https://www.bilibili.com/video/av213412831/，你这个工具只能针对VM.exe的注入？ 2023-3-6 11:21 0
学技术打豆豆雪币： 198 活跃值： (8558) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 372 关注私信	学技术打豆豆 1 25 楼冰雄楼主跟这个加载无签名驱动工具原理一样的吧https://www.bilibili.com/video/av213412831/，你这个工具只能针对VM.exe的注入？他的没看，这个加载无签名驱动，只是一个附加的实现，纯粹是用来做测试用的，这个代码主要目的是模拟Windows的内存实现，学习原理的。 2023-3-6 12:06 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

学技术打豆豆

发帖

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (38) 1 2 ▶
天月雪币： 2541 活跃值： (1933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	天月 2 楼狠到了 2023-2-21 13:06 0
fengyunabc 雪币： 3738 活跃值： (3872) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 3 楼顶！！！ 2023-2-21 13:19 0
fengyunabc 雪币： 3738 活跃值： (3872) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 4 楼继续顶！豆总牛逼！！！ 2023-2-21 13:20 0
学技术打豆豆雪币： 198 活跃值： (8558) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 372 关注私信	学技术打豆豆 1 5 楼 fengyunabc 继续顶！豆总牛逼！！！ 2023-2-21 13:20 0
TkBinary 雪币： 871 活跃值： (9841) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 6 楼奈何自己没文化,一句卧槽走天下. 卧槽! 2023-2-21 13:24 0
绿色玩家999 雪币： 56 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 32 粉丝 7 关注私信	绿色玩家999 7 楼狠 2023-2-21 13:56 0
tank小王子雪币： 12453 活跃值： (9422) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 152 粉丝 1 关注私信	tank小王子 8 楼奈何自己没文化,一句牛逼走天下. 牛逼! 2023-2-21 15:21 0
半个大西瓜雪币： 1411 活跃值： (737) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 26 粉丝 7 关注私信	半个大西瓜 9 楼太顶了 2023-2-21 16:38 0
小希希雪币： 1810 活跃值： (4020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 335 粉丝 18 关注私信	小希希 10 楼顶,厉害 2023-2-21 16:59 0
iaoedsz2018 雪币： 1206 活跃值： (1909) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	iaoedsz2018 11 楼大佬太猛了 2023-2-21 19:45 0
小希希雪币： 1810 活跃值： (4020) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 335 粉丝 18 关注私信	小希希 12 楼请问虚拟机是什么版本? 2023-2-21 21:12 0
xdlakx 雪币： 630 活跃值： (570) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 98 粉丝 0 关注私信	xdlakx 13 楼奈何自己没文化,一句卧槽牛逼走天下. 卧槽牛逼! 2023-2-21 21:13 0
VCKFC 雪币： 9941 活跃值： (2143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 319 粉丝 16 关注私信	VCKFC 14 楼这水平,工作还要找吗? 2023-2-21 22:07 0
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 242 粉丝 14 关注私信	AperOdry 15 楼狠 2023-2-21 23:08 0
Grav1ty 雪币： 1862 活跃值： (4146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 44 粉丝 3 关注私信	Grav1ty 16 楼 666 2023-2-22 07:49 0
LoveXY 雪币： 32 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	LoveXY 17 楼啊，一点点知识就够了。对对，亿点点就够了 2023-2-22 09:00 0
冰雄雪币： 1485 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 18 楼思路不错。借用其他有签名的软件实现。但有个问题如果系统有杀毒软件就会被拦截。还需要处理这个才能真正穿透 2023-2-22 09:03 1
厌倦雪币： 1464 活跃值： (1913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 51 粉丝 1 关注私信	厌倦 19 楼无敌 2023-2-22 09:34 0
学技术打豆豆雪币： 198 活跃值： (8558) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 372 关注私信	学技术打豆豆 1 20 楼冰雄思路不错。借用其他有签名的软件实现。但有个问题如果系统有杀毒软件就会被拦截。还需要处理这个才能真正穿透没，不需要借助有签名的文件，那样就没有啥技术含量，虽然这个也没什么技术含量。 2023-2-22 19:13 0
拍拖雪币： 1790 活跃值： (3786) 能力值： ( LV6，RANK：90 ) 在线值：发帖 22 回帖 262 粉丝 9 关注私信	拍拖 2 21 楼支持分享，向楼主学习下。 2023-3-3 16:38 0
小白养的菜鸡雪币： 2458 活跃值： (4586) 能力值： ( LV3，RANK：30 ) 在线值：发帖 4 回帖 50 粉丝 40 关注私信	小白养的菜鸡 22 楼这水平,工作还要找吗? 2023-3-6 09:18 0
sunsjw 雪币： 8761 活跃值： (5220) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1250 粉丝 15 关注私信	sunsjw 1 23 楼咱也看不懂，咱也不敢说。 2023-3-6 09:49 0
冰雄雪币： 1485 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 24 楼楼主跟这个加载无签名驱动工具原理一样的吧https://www.bilibili.com/video/av213412831/，你这个工具只能针对VM.exe的注入？ 2023-3-6 11:21 0
学技术打豆豆雪币： 198 活跃值： (8558) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 372 关注私信	学技术打豆豆 1 25 楼冰雄楼主跟这个加载无签名驱动工具原理一样的吧https://www.bilibili.com/video/av213412831/，你这个工具只能针对VM.exe的注入？他的没看，这个加载无签名驱动，只是一个附加的实现，纯粹是用来做测试用的，这个代码主要目的是模拟Windows的内存实现，学习原理的。 2023-3-6 12:06 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复