[原创]关于我逆了一个号称VT读取物理内存条的驱动，最后发现他只个IO这件事

2023-4-11 12:37 12629

[原创]关于我逆了一个号称VT读取物理内存条的驱动，最后发现他只个IO这件事

LuciferAda 活跃值

2023-4-11 12:37

12629

大家好，我是学习逆向时长两年半的个人练习生，这次分析的样本是lyshark/LyMemory究极VT无痕直接读取物理内存条的一款驱动，详情见截图。

由于作者提供了SDK所以逆向起来超级简单。

一下是R3的DLL中提供的接口：

真就IO呗？？？？ !

接下来这部分是R0负责通讯的函数，牛逼就完事儿了。

总之牛逼克拉斯，支持物理内存条读写！！！

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

最后于 2023-4-11 12:46 被LuciferAda编辑，原因：标题少了三个字

#调试逆向 #系统底层 #病毒木马 #问题讨论

收藏・14

点赞・6

打赏

最新回复 (97) 1 2 3 4 ▶
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2023-4-11 13:53 2 楼 2 虚假的物理内存条儿读写：MmGetPhysicalAddress、MmMapIoSpace 真正的物理内存条儿读写：
Territory 雪币： 88 活跃值： (568) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	Territory 2023-4-11 13:58 3 楼 0 把内存条叼嘴里，脑补画面玩，绝对稳
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-11 14:05 4 楼 0 Territory 把内存条叼嘴里，脑补画面玩，绝对稳你为什么这么熟练啊？
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-11 14:06 5 楼 0 hzqst 虚假的物理内存条儿读写：MmGetPhysicalAddress、MmMapIoSpace真正的物理内存条儿读写：
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2023-4-11 14:13 6 楼 0 作者是不是本站的 lyshark
杰克王雪币： 187 活跃值： (2406) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 58 粉丝 51 关注私信	杰克王 2023-4-11 14:19 7 楼 0 您好在哪里买1000r每年的无痕读写大多数进程内存（不拉闸）的版本？
wx_GoKu 雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_GoKu 2023-4-11 15:59 8 楼 0 杰克王您好在哪里买1000r每年的无痕读写大多数进程内存（不拉闸）的版本？大多数指4399、7k7k、扫雷以及蜘蛛卡牌最后于 2023-4-11 16:02 被wx_GoKu编辑，原因：
绿色玩家999 雪币： 56 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 32 粉丝 7 关注私信	绿色玩家999 2023-4-11 16:06 9 楼 0 他这个免责声明也摘的太干净了吧
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-11 16:35 10 楼 0 万剑归宗作者是不是本站的 lyshark 好像是最后于 2023-4-13 14:52 被kanxue编辑，原因：
iamasbcx 雪币： 2298 活跃值： (2423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 166 粉丝 6 关注私信	iamasbcx 2023-4-11 17:27 11 楼 0 大手子哈哈
R0g 雪币： 2140 活跃值： (3523) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 120 粉丝 55 关注私信	R0g 2 2023-4-11 18:16 12 楼 0 hzqst 虚假的物理内存条儿读写：MmGetPhysicalAddress、MmMapIoSpace真正的物理内存条儿读写：嘎嘎嘎嘎嘎嘎嘎嘎嘎嘎嘎嘎
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-11 22:11 13 楼 0 杰克王您好在哪里买1000r每年的无痕读写大多数进程内存（不拉闸）的版本？上面不是po了作者的联系方式吗？有兴趣你可以找他咨询
qj111111 雪币： 1638 活跃值： (2804) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 139 粉丝 16 关注私信	qj111111 2023-4-12 17:25 14 楼 0 大佬，淘宝"DMA 银盾leet 终结者 PCIE内存读写"，这种直接读pcie内存有了解不，如何评价？
zx_901106 雪币： 269 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 73 粉丝 127 关注私信	zx_901106 2023-4-12 18:14 15 楼 0 您好，免费版仅仅只能够读写简单的功能，其次不会有人把付费的免费发出来，另外，本人的软件都有软件著作权保护，请规范您的行为
zx_901106 雪币： 269 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 73 粉丝 127 关注私信	zx_901106 2023-4-12 18:16 16 楼 0 如有需求，可购买专业版
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 401 粉丝 39 关注私信	はつゆき 2023-4-12 19:06 17 楼 0 lyshark 您好，免费版仅仅只能够读写简单的功能，其次不会有人把付费的免费发出来，另外，本人的软件都有软件著作权保护，请规范您的行为这能忍？这不发函？
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-12 19:15 18 楼 0 lyshark 您好，免费版仅仅只能够读写简单的功能，其次不会有人把付费的免费发出来，另外，本人的软件都有软件著作权保护，请规范您的行为您的软件著作权证书方便Show出来吗？请问您是公司还是个人呢？您宣传的免费版是切换CR3，然后我并没有看到呢
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-12 19:19 19 楼 0 看下面最后于 2023-4-12 19:21 被LuciferAda编辑，原因：忘记引用我们苦主的回帖了 PS:看雪这个回帖系统做的真拉
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-12 19:20 20 楼 0 lyshark 如有需求，可购买专业版为了维护您和您产品的名誉权，证明您不是虚假宣传，请您提供您专业版的demo，如果与您的宣传属实，我将公开向您道歉，并且帮助您的产品被更多人知道！如果您拒绝提供任何demo，您就是在虚假宣传哦。顺带一提您如果无法提供您的软件著作权证书，您可能涉嫌非法经营哦最后于 2023-4-12 19:23 被LuciferAda编辑，原因：漏字
zx_901106 雪币： 269 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 73 粉丝 127 关注私信	zx_901106 2023-4-12 19:25 21 楼 0 LuciferAda lyshark 如有需求，可购买专业版为了维护您和您产品的名誉权，证明您不是虚假宣传，请您提供您专业版的demo，如果与您的宣传属实，我将公开 ... 您就这素质？逆向别人东西你还有理由了？我让你逆向了吗？加了保护就是不让你这么做的，你还有理由了吗？你脑子哪根筋不对，demo我能给你吗，你是付费用户还是VIP，我为什么要给你？非法经营？我卖给你了？
zx_901106 雪币： 269 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 73 粉丝 127 关注私信	zx_901106 2023-4-12 19:26 22 楼 0 lyshark 您就这素质？逆向别人东西你还有理由了？我让你逆向了吗？加了保护就是不让你这么做的，你还有理由了吗？你脑子哪根筋不对，demo我能给你吗，你是付费用户还是VIP，我为什么要给你？非法经营？我卖给你了？我要告你了吗？哪里说的不对吗？不跟你一般见识，你还蹬鼻子上脸了
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-12 19:26 23 楼 0 lyshark 您就这素质？逆向别人东西你还有理由了？我让你逆向了吗？加了保护就是不让你这么做的，你还有理由了吗？你脑子哪根筋不对，demo我能给你吗，你是付费用户还是VIP，我为什么要给你？非法经营？我卖给你了？您别上来就破防啊，这样会显得你非常的没有风度的
zx_901106 雪币： 269 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 73 粉丝 127 关注私信	zx_901106 2023-4-12 19:26 24 楼 0 LuciferAda 您的软件著作权证书方便Show出来吗？请问您是公司还是个人呢？您宣传的免费版是切换CR3，然后我并没有看到呢是公司，著作权所属是企业，怎末滴
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 401 粉丝 39 关注私信	はつゆき 2023-4-12 19:28 25 楼 0 lyshark 我要告你了吗？哪里说的不对吗？不跟你一般见识，你还蹬鼻子上脸了这能忍？这不告他能忍？是我肯定忍不了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

LuciferAda

发帖

回帖

RANK

关注

私信

他的文章

[原创][分享]X64下使用GetWindowLongPtr跨进程取其他进程的WNDPROC等

关于我们

联系我们

企业服务

看雪公众号

最新回复 (97) 1 2 3 4 ▶
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2023-4-11 13:53 2 楼 2 虚假的物理内存条儿读写：MmGetPhysicalAddress、MmMapIoSpace 真正的物理内存条儿读写：
Territory 雪币： 88 活跃值： (568) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	Territory 2023-4-11 13:58 3 楼 0 把内存条叼嘴里，脑补画面玩，绝对稳
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-11 14:05 4 楼 0 Territory 把内存条叼嘴里，脑补画面玩，绝对稳你为什么这么熟练啊？
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-11 14:06 5 楼 0 hzqst 虚假的物理内存条儿读写：MmGetPhysicalAddress、MmMapIoSpace真正的物理内存条儿读写：
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2023-4-11 14:13 6 楼 0 作者是不是本站的 lyshark
杰克王雪币： 187 活跃值： (2406) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 58 粉丝 51 关注私信	杰克王 2023-4-11 14:19 7 楼 0 您好在哪里买1000r每年的无痕读写大多数进程内存（不拉闸）的版本？
wx_GoKu 雪币： 220 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wx_GoKu 2023-4-11 15:59 8 楼 0 杰克王您好在哪里买1000r每年的无痕读写大多数进程内存（不拉闸）的版本？大多数指4399、7k7k、扫雷以及蜘蛛卡牌最后于 2023-4-11 16:02 被wx_GoKu编辑，原因：
绿色玩家999 雪币： 56 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 32 粉丝 7 关注私信	绿色玩家999 2023-4-11 16:06 9 楼 0 他这个免责声明也摘的太干净了吧
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-11 16:35 10 楼 0 万剑归宗作者是不是本站的 lyshark 好像是最后于 2023-4-13 14:52 被kanxue编辑，原因：
iamasbcx 雪币： 2298 活跃值： (2423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 166 粉丝 6 关注私信	iamasbcx 2023-4-11 17:27 11 楼 0 大手子哈哈
R0g 雪币： 2140 活跃值： (3523) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 120 粉丝 55 关注私信	R0g 2 2023-4-11 18:16 12 楼 0 hzqst 虚假的物理内存条儿读写：MmGetPhysicalAddress、MmMapIoSpace真正的物理内存条儿读写：嘎嘎嘎嘎嘎嘎嘎嘎嘎嘎嘎嘎
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-11 22:11 13 楼 0 杰克王您好在哪里买1000r每年的无痕读写大多数进程内存（不拉闸）的版本？上面不是po了作者的联系方式吗？有兴趣你可以找他咨询
qj111111 雪币： 1638 活跃值： (2804) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 139 粉丝 16 关注私信	qj111111 2023-4-12 17:25 14 楼 0 大佬，淘宝"DMA 银盾leet 终结者 PCIE内存读写"，这种直接读pcie内存有了解不，如何评价？
zx_901106 雪币： 269 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 73 粉丝 127 关注私信	zx_901106 2023-4-12 18:14 15 楼 0 您好，免费版仅仅只能够读写简单的功能，其次不会有人把付费的免费发出来，另外，本人的软件都有软件著作权保护，请规范您的行为
zx_901106 雪币： 269 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 73 粉丝 127 关注私信	zx_901106 2023-4-12 18:16 16 楼 0 如有需求，可购买专业版
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 401 粉丝 39 关注私信	はつゆき 2023-4-12 19:06 17 楼 0 lyshark 您好，免费版仅仅只能够读写简单的功能，其次不会有人把付费的免费发出来，另外，本人的软件都有软件著作权保护，请规范您的行为这能忍？这不发函？
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-12 19:15 18 楼 0 lyshark 您好，免费版仅仅只能够读写简单的功能，其次不会有人把付费的免费发出来，另外，本人的软件都有软件著作权保护，请规范您的行为您的软件著作权证书方便Show出来吗？请问您是公司还是个人呢？您宣传的免费版是切换CR3，然后我并没有看到呢
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-12 19:19 19 楼 0 看下面最后于 2023-4-12 19:21 被LuciferAda编辑，原因：忘记引用我们苦主的回帖了 PS:看雪这个回帖系统做的真拉
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-12 19:20 20 楼 0 lyshark 如有需求，可购买专业版为了维护您和您产品的名誉权，证明您不是虚假宣传，请您提供您专业版的demo，如果与您的宣传属实，我将公开向您道歉，并且帮助您的产品被更多人知道！如果您拒绝提供任何demo，您就是在虚假宣传哦。顺带一提您如果无法提供您的软件著作权证书，您可能涉嫌非法经营哦最后于 2023-4-12 19:23 被LuciferAda编辑，原因：漏字
zx_901106 雪币： 269 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 73 粉丝 127 关注私信	zx_901106 2023-4-12 19:25 21 楼 0 LuciferAda lyshark 如有需求，可购买专业版为了维护您和您产品的名誉权，证明您不是虚假宣传，请您提供您专业版的demo，如果与您的宣传属实，我将公开 ... 您就这素质？逆向别人东西你还有理由了？我让你逆向了吗？加了保护就是不让你这么做的，你还有理由了吗？你脑子哪根筋不对，demo我能给你吗，你是付费用户还是VIP，我为什么要给你？非法经营？我卖给你了？
zx_901106 雪币： 269 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 73 粉丝 127 关注私信	zx_901106 2023-4-12 19:26 22 楼 0 lyshark 您就这素质？逆向别人东西你还有理由了？我让你逆向了吗？加了保护就是不让你这么做的，你还有理由了吗？你脑子哪根筋不对，demo我能给你吗，你是付费用户还是VIP，我为什么要给你？非法经营？我卖给你了？我要告你了吗？哪里说的不对吗？不跟你一般见识，你还蹬鼻子上脸了
LuciferAda 雪币： 2063 活跃值： (501) 能力值： (RANK：10 ) 在线值：发帖 2 回帖 60 粉丝 10 关注私信	LuciferAda 2023-4-12 19:26 23 楼 0 lyshark 您就这素质？逆向别人东西你还有理由了？我让你逆向了吗？加了保护就是不让你这么做的，你还有理由了吗？你脑子哪根筋不对，demo我能给你吗，你是付费用户还是VIP，我为什么要给你？非法经营？我卖给你了？您别上来就破防啊，这样会显得你非常的没有风度的
zx_901106 雪币： 269 活跃值： (5661) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 73 粉丝 127 关注私信	zx_901106 2023-4-12 19:26 24 楼 0 LuciferAda 您的软件著作权证书方便Show出来吗？请问您是公司还是个人呢？您宣传的免费版是切换CR3，然后我并没有看到呢是公司，著作权所属是企业，怎末滴
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 401 粉丝 39 关注私信	はつゆき 2023-4-12 19:28 25 楼 0 lyshark 我要告你了吗？哪里说的不对吗？不跟你一般见识，你还蹬鼻子上脸了这能忍？这不告他能忍？是我肯定忍不了。
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复