首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]vmware外部读写内存也没那么神秘
发表于: 2024-12-24 01:19 11852

[原创]vmware外部读写内存也没那么神秘

mudebug 活跃值
2024-12-24 01:19
11852

查看主题内容

收藏
免费 244
支持
分享
最新回复 (251)
mudebug
雪    币: 9711
活跃值: (6945)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
151
mb_maoshkto 片面了一点,这个库读倒是没什么问题,写有巨大的问题,据我测试,不是分页导致无法写入,而是虚拟机中它大部分的代码段都是没有映射物理地址的虚拟地址,这样你是没办法写入的,你可以随便打开一个记事本,什么都别 ...
可以hook的,但是要找对位置,作者有dma项目。写有例子,在同作者其他项目,可以自己研究
然后就是win系统有系统api可以强制要求内存不做分页
2025-1-22 11:44
0
zjgcjy
雪    币: 0
活跃值: (363)
能力值: ( LV8,RANK:125 )
在线值:
发帖
回帖
粉丝
私信
152
看看
2025-1-24 14:23
0
lvchalove
雪    币: 42
活跃值: (1016)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
153
大佬 有什么办法可以直接windows本机读雷电模拟器的内存啊而不是用so
2025-1-24 20:55
0
skzhe
雪    币: 73
活跃值: (168)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
154
good!
2025-1-24 22:31
0
conquereo
雪    币: 130
活跃值: (353)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
155
学习了
2025-1-25 00:51
0
mb_jeplbefy
雪    币: 17
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
156
666
2025-1-25 21:06
0
樊辉
雪    币: 240
活跃值: (1604)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
157
看看什么方法
2025-1-25 21:08
0
lackone
雪    币: 221
活跃值: (1618)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
158
66666
2025-1-25 22:59
0
mb_eizetlni
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
159
感谢分享!
2025-1-26 14:42
0
mb_bftrrptp
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
160
看看什么方法
2025-1-27 16:18
0
mb_maoshkto
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
161
mudebug 可以hook的,但是要找对位置,作者有dma项目。写有例子,在同作者其他项目,可以自己研究 然后就是win系统有系统api可以强制要求内存不做分页
1
 已经试过了,如图,环境是win10,内存分页已经关闭,读取的虚拟地址是explorer.exe里面的.text段,只要没访问过这片内存,pte上是不会显示这个地址的分页的,找了很久这个问题也没解决,奇怪的点是如果你在虚拟机内,使用CE或者X64DBG,又或者你直接使用ReadProcessMemory这个函数,去读取一次这个虚拟地址,箭头上的那个失败地址[1E4BD125388]一模一样的地址上,就会挂上最新的分页


2025-1-31 06:05
0
AsuraCoder
雪    币: 1014
活跃值: (776)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
162
看看什么方法
2025-1-31 20:24
0
陈渊
雪    币: 0
活跃值: (35)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
163
酷酷酷
2025-2-1 00:37
0
zylrocket
雪    币: 3535
活跃值: (5889)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
164
2025-2-1 02:01
0
softmasm
雪    币: 448
活跃值: (694)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
165
看看什么方法
2025-2-1 02:11
0
治愈ckt
雪    币: 1105
活跃值: (493)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
166
第一次看这种题材,看看什么东西,先谢谢师傅分享
2025-2-1 09:10
0
mb_gbccmdml
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
167
你的分享对大家帮助很大,非常感谢
2025-2-1 10:08
0
CrazyCC
雪    币: 2
活跃值: (231)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
168
学习一下内容
2025-2-1 15:44
0
X小浪X
雪    币: 11
活跃值: (1076)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
169
路过看看
2025-2-1 17:07
0
亮亮0107
雪    币: 232
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
170
看看什么方法
2025-2-1 17:54
0
浅笑心柔
雪    币: 312
活跃值: (386)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
171
感谢你的贡献,论坛因你而更加精彩!
2025-2-1 22:31
0
yjzlong
雪    币: 145
活跃值: (128)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
172
看看 学习一下
2025-2-2 00:00
0
mb_juuexlrb
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
173
pcileech办法的做法是插入shellcode到内核中启动一个工作线程
工作线程的上下文是在之前挂钩分配的一个非分页内存(tdKMDDATA) 
通过这个非分页内存(tdKMDDATA)和外的程序进行直接读写通讯 
实现这些功能

#define KMD_CMD_VOID                        0xffff
#define KMD_CMD_COMPLETED                0
#define KMD_CMD_READ                        1
#define KMD_CMD_WRITE                        2
#define KMD_CMD_TERMINATE                3
#define KMD_CMD_MEM_INFO                4
#define KMD_CMD_EXEC                    5
#define KMD_CMD_READ_VA                        6
#define KMD_CMD_WRITE_VA                7
#define KMD_CMD_EXEC_EXTENDED        8
这样就非常巧妙的达到了一些常用功能具体的实现可以参考tdKMDDATA 这个结构体
2025-2-2 21:49
1
优酸乳
雪    币: 0
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
174
嗯,看看东西再评论
2025-2-2 22:19
0
小朋友呢
雪    币: 19
活跃值: (312)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
175
感谢楼主的分享
2025-2-3 14:30
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》