[原创]关于我逆了一个号称VT读取物理内存条的驱动，最后发现他只个IO这件事

发表于: 2023-4-11 12:37 14611

[原创]关于我逆了一个号称VT读取物理内存条的驱动，最后发现他只个IO这件事

LuciferAda 活跃值

2023-4-11 12:37

14611

大家好，我是学习逆向时长两年半的个人练习生，这次分析的样本是lyshark/LyMemory究极VT无痕直接读取物理内存条的一款驱动，详情见截图。

由于作者提供了SDK所以逆向起来超级简单。

一下是R3的DLL中提供的接口：

真就IO呗？？？？ !

接下来这部分是R0负责通讯的函数，牛逼就完事儿了。

总之牛逼克拉斯，支持物理内存条读写！！！

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2023-4-11 12:46 被LuciferAda编辑，原因：标题少了三个字

#调试逆向 #系统底层 #病毒木马 #问题讨论

收藏・15

免费・6

支持

最新回复 (97) 1 2 3 4 ▶
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 2 楼虚假的物理内存条儿读写：MmGetPhysicalAddress、MmMapIoSpace 真正的物理内存条儿读写： 2023-4-11 13:53 2
Territory 雪币： 88 活跃值： (634) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Territory 3 楼把内存条叼嘴里，脑补画面玩，绝对稳 2023-4-11 13:58 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 4 楼 Territory 把内存条叼嘴里，脑补画面玩，绝对稳你为什么这么熟练啊？ 2023-4-11 14:05 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 5 楼 hzqst 虚假的物理内存条儿读写：MmGetPhysicalAddress、MmMapIoSpace真正的物理内存条儿读写： 2023-4-11 14:06 0
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 6 楼作者是不是本站的 lyshark 2023-4-11 14:13 0
杰克王雪币： 183 活跃值： (2427) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 63 粉丝 56 关注私信	杰克王 7 楼您好在哪里买1000r每年的无痕读写大多数进程内存（不拉闸）的版本？ 2023-4-11 14:19 0
wx_GoKu 雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_GoKu 8 楼杰克王您好在哪里买1000r每年的无痕读写大多数进程内存（不拉闸）的版本？大多数指4399、7k7k、扫雷以及蜘蛛卡牌最后于 2023-4-11 16:02 被wx_GoKu编辑，原因： 2023-4-11 15:59 0
绿色玩家999 雪币： 56 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 32 粉丝 7 关注私信	绿色玩家999 9 楼他这个免责声明也摘的太干净了吧 2023-4-11 16:06 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 10 楼万剑归宗作者是不是本站的 lyshark 好像是最后于 2023-4-13 14:52 被kanxue编辑，原因： 2023-4-11 16:35 0
iamasbcx 雪币： 3846 活跃值： (3618) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 190 粉丝 8 关注私信	iamasbcx 11 楼大手子哈哈 2023-4-11 17:27 0
R0g 雪币： 1281 活跃值： (4515) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 128 粉丝 102 关注私信	R0g 2 12 楼 hzqst 虚假的物理内存条儿读写：MmGetPhysicalAddress、MmMapIoSpace真正的物理内存条儿读写：嘎嘎嘎嘎嘎嘎嘎嘎嘎嘎嘎嘎 2023-4-11 18:16 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 13 楼杰克王您好在哪里买1000r每年的无痕读写大多数进程内存（不拉闸）的版本？上面不是po了作者的联系方式吗？有兴趣你可以找他咨询 2023-4-11 22:11 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 14 楼大佬，淘宝"DMA 银盾leet 终结者 PCIE内存读写"，这种直接读pcie内存有了解不，如何评价？ 2023-4-12 17:25 0
zx_901106 雪币： 271 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 114 粉丝 126 关注私信	zx_901106 15 楼您好，免费版仅仅只能够读写简单的功能，其次不会有人把付费的免费发出来，另外，本人的软件都有软件著作权保护，请规范您的行为 2023-4-12 18:14 0
zx_901106 雪币： 271 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 114 粉丝 126 关注私信	zx_901106 16 楼如有需求，可购买专业版 2023-4-12 18:16 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 17 楼 lyshark 您好，免费版仅仅只能够读写简单的功能，其次不会有人把付费的免费发出来，另外，本人的软件都有软件著作权保护，请规范您的行为这能忍？这不发函？ 2023-4-12 19:06 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 18 楼 lyshark 您好，免费版仅仅只能够读写简单的功能，其次不会有人把付费的免费发出来，另外，本人的软件都有软件著作权保护，请规范您的行为您的软件著作权证书方便Show出来吗？请问您是公司还是个人呢？您宣传的免费版是切换CR3，然后我并没有看到呢 2023-4-12 19:15 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 19 楼看下面最后于 2023-4-12 19:21 被LuciferAda编辑，原因：忘记引用我们苦主的回帖了 PS:看雪这个回帖系统做的真拉 2023-4-12 19:19 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 20 楼 lyshark 如有需求，可购买专业版为了维护您和您产品的名誉权，证明您不是虚假宣传，请您提供您专业版的demo，如果与您的宣传属实，我将公开向您道歉，并且帮助您的产品被更多人知道！如果您拒绝提供任何demo，您就是在虚假宣传哦。顺带一提您如果无法提供您的软件著作权证书，您可能涉嫌非法经营哦最后于 2023-4-12 19:23 被LuciferAda编辑，原因：漏字 2023-4-12 19:20 0
zx_901106 雪币： 271 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 114 粉丝 126 关注私信	zx_901106 21 楼 LuciferAda lyshark 如有需求，可购买专业版为了维护您和您产品的名誉权，证明您不是虚假宣传，请您提供您专业版的demo，如果与您的宣传属实，我将公开 ... 您就这素质？逆向别人东西你还有理由了？我让你逆向了吗？加了保护就是不让你这么做的，你还有理由了吗？你脑子哪根筋不对，demo我能给你吗，你是付费用户还是VIP，我为什么要给你？非法经营？我卖给你了？ 2023-4-12 19:25 0
zx_901106 雪币： 271 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 114 粉丝 126 关注私信	zx_901106 22 楼 lyshark 您就这素质？逆向别人东西你还有理由了？我让你逆向了吗？加了保护就是不让你这么做的，你还有理由了吗？你脑子哪根筋不对，demo我能给你吗，你是付费用户还是VIP，我为什么要给你？非法经营？我卖给你了？我要告你了吗？哪里说的不对吗？不跟你一般见识，你还蹬鼻子上脸了 2023-4-12 19:26 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 23 楼 lyshark 您就这素质？逆向别人东西你还有理由了？我让你逆向了吗？加了保护就是不让你这么做的，你还有理由了吗？你脑子哪根筋不对，demo我能给你吗，你是付费用户还是VIP，我为什么要给你？非法经营？我卖给你了？您别上来就破防啊，这样会显得你非常的没有风度的 2023-4-12 19:26 0
zx_901106 雪币： 271 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 114 粉丝 126 关注私信	zx_901106 24 楼 LuciferAda 您的软件著作权证书方便Show出来吗？请问您是公司还是个人呢？您宣传的免费版是切换CR3，然后我并没有看到呢是公司，著作权所属是企业，怎末滴 2023-4-12 19:26 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 25 楼 lyshark 我要告你了吗？哪里说的不对吗？不跟你一般见识，你还蹬鼻子上脸了这能忍？这不告他能忍？是我肯定忍不了。 2023-4-12 19:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

LuciferAda

发帖

回帖

RANK

关注

私信

他的文章

[原创][分享]X64下使用GetWindowLongPtr跨进程取其他进程的WNDPROC等 13787

关于我们

联系我们

企业服务

看雪公众号

最新回复 (97) 1 2 3 4 ▶
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 2 楼虚假的物理内存条儿读写：MmGetPhysicalAddress、MmMapIoSpace 真正的物理内存条儿读写： 2023-4-11 13:53 2
Territory 雪币： 88 活跃值： (634) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Territory 3 楼把内存条叼嘴里，脑补画面玩，绝对稳 2023-4-11 13:58 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 4 楼 Territory 把内存条叼嘴里，脑补画面玩，绝对稳你为什么这么熟练啊？ 2023-4-11 14:05 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 5 楼 hzqst 虚假的物理内存条儿读写：MmGetPhysicalAddress、MmMapIoSpace真正的物理内存条儿读写： 2023-4-11 14:06 0
万剑归宗雪币： 914 活跃值： (2448) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 6 楼作者是不是本站的 lyshark 2023-4-11 14:13 0
杰克王雪币： 183 活跃值： (2427) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 63 粉丝 56 关注私信	杰克王 7 楼您好在哪里买1000r每年的无痕读写大多数进程内存（不拉闸）的版本？ 2023-4-11 14:19 0
wx_GoKu 雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_GoKu 8 楼杰克王您好在哪里买1000r每年的无痕读写大多数进程内存（不拉闸）的版本？大多数指4399、7k7k、扫雷以及蜘蛛卡牌最后于 2023-4-11 16:02 被wx_GoKu编辑，原因： 2023-4-11 15:59 0
绿色玩家999 雪币： 56 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 32 粉丝 7 关注私信	绿色玩家999 9 楼他这个免责声明也摘的太干净了吧 2023-4-11 16:06 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 10 楼万剑归宗作者是不是本站的 lyshark 好像是最后于 2023-4-13 14:52 被kanxue编辑，原因： 2023-4-11 16:35 0
iamasbcx 雪币： 3846 活跃值： (3618) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 190 粉丝 8 关注私信	iamasbcx 11 楼大手子哈哈 2023-4-11 17:27 0
R0g 雪币： 1281 活跃值： (4515) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 128 粉丝 102 关注私信	R0g 2 12 楼 hzqst 虚假的物理内存条儿读写：MmGetPhysicalAddress、MmMapIoSpace真正的物理内存条儿读写：嘎嘎嘎嘎嘎嘎嘎嘎嘎嘎嘎嘎 2023-4-11 18:16 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 13 楼杰克王您好在哪里买1000r每年的无痕读写大多数进程内存（不拉闸）的版本？上面不是po了作者的联系方式吗？有兴趣你可以找他咨询 2023-4-11 22:11 0
qj111111 雪币： 1558 活跃值： (3432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 14 楼大佬，淘宝"DMA 银盾leet 终结者 PCIE内存读写"，这种直接读pcie内存有了解不，如何评价？ 2023-4-12 17:25 0
zx_901106 雪币： 271 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 114 粉丝 126 关注私信	zx_901106 15 楼您好，免费版仅仅只能够读写简单的功能，其次不会有人把付费的免费发出来，另外，本人的软件都有软件著作权保护，请规范您的行为 2023-4-12 18:14 0
zx_901106 雪币： 271 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 114 粉丝 126 关注私信	zx_901106 16 楼如有需求，可购买专业版 2023-4-12 18:16 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 17 楼 lyshark 您好，免费版仅仅只能够读写简单的功能，其次不会有人把付费的免费发出来，另外，本人的软件都有软件著作权保护，请规范您的行为这能忍？这不发函？ 2023-4-12 19:06 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 18 楼 lyshark 您好，免费版仅仅只能够读写简单的功能，其次不会有人把付费的免费发出来，另外，本人的软件都有软件著作权保护，请规范您的行为您的软件著作权证书方便Show出来吗？请问您是公司还是个人呢？您宣传的免费版是切换CR3，然后我并没有看到呢 2023-4-12 19:15 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 19 楼看下面最后于 2023-4-12 19:21 被LuciferAda编辑，原因：忘记引用我们苦主的回帖了 PS:看雪这个回帖系统做的真拉 2023-4-12 19:19 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 20 楼 lyshark 如有需求，可购买专业版为了维护您和您产品的名誉权，证明您不是虚假宣传，请您提供您专业版的demo，如果与您的宣传属实，我将公开向您道歉，并且帮助您的产品被更多人知道！如果您拒绝提供任何demo，您就是在虚假宣传哦。顺带一提您如果无法提供您的软件著作权证书，您可能涉嫌非法经营哦最后于 2023-4-12 19:23 被LuciferAda编辑，原因：漏字 2023-4-12 19:20 0
zx_901106 雪币： 271 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 114 粉丝 126 关注私信	zx_901106 21 楼 LuciferAda lyshark 如有需求，可购买专业版为了维护您和您产品的名誉权，证明您不是虚假宣传，请您提供您专业版的demo，如果与您的宣传属实，我将公开 ... 您就这素质？逆向别人东西你还有理由了？我让你逆向了吗？加了保护就是不让你这么做的，你还有理由了吗？你脑子哪根筋不对，demo我能给你吗，你是付费用户还是VIP，我为什么要给你？非法经营？我卖给你了？ 2023-4-12 19:25 0
zx_901106 雪币： 271 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 114 粉丝 126 关注私信	zx_901106 22 楼 lyshark 您就这素质？逆向别人东西你还有理由了？我让你逆向了吗？加了保护就是不让你这么做的，你还有理由了吗？你脑子哪根筋不对，demo我能给你吗，你是付费用户还是VIP，我为什么要给你？非法经营？我卖给你了？我要告你了吗？哪里说的不对吗？不跟你一般见识，你还蹬鼻子上脸了 2023-4-12 19:26 0
LuciferAda 雪币： 2065 活跃值： (500) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 10 关注私信	LuciferAda 23 楼 lyshark 您就这素质？逆向别人东西你还有理由了？我让你逆向了吗？加了保护就是不让你这么做的，你还有理由了吗？你脑子哪根筋不对，demo我能给你吗，你是付费用户还是VIP，我为什么要给你？非法经营？我卖给你了？您别上来就破防啊，这样会显得你非常的没有风度的 2023-4-12 19:26 0
zx_901106 雪币： 271 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 114 粉丝 126 关注私信	zx_901106 24 楼 LuciferAda 您的软件著作权证书方便Show出来吗？请问您是公司还是个人呢？您宣传的免费版是切换CR3，然后我并没有看到呢是公司，著作权所属是企业，怎末滴 2023-4-12 19:26 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 25 楼 lyshark 我要告你了吗？哪里说的不对吗？不跟你一般见识，你还蹬鼻子上脸了这能忍？这不告他能忍？是我肯定忍不了。 2023-4-12 19:28 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复