[原创]另一种读写进程内存空间的方法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]另一种读写进程内存空间的方法

发表于: 2008-5-16 17:16 61807

[原创]另一种读写进程内存空间的方法

NetRoc

2008-5-16 17:16

61807

查看主题内容

收藏・113

免费・7

支持

最新回复 (66) ◀ 1 2 3 ▶
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 26 楼强大，学习。 2008-5-20 09:23 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 27 楼加标记学习！ 2008-5-20 11:40 0
qixideqie 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	qixideqie 28 楼此帖于 2008-05-17 19:13 被 forgot 编辑. 原因: 加一个哦也 2008-5-20 15:38 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 29 楼内核里面，没有谁更利害，只有谁更变态。 2008-5-21 08:24 0
lixiaolin 雪币： 254 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 47 粉丝 0 关注私信	lixiaolin 30 楼很好学习~~~~~~~~~~~~~~~~ 2008-5-21 09:34 0
xumn 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	xumn 31 楼新手，学习ing 2008-5-22 09:40 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 32 楼要是被换到硬盘文件中,就蓝了! 应该挂接保护异常中断!有空我完善一下 2008-5-22 14:39 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 33 楼其实最好的方法还是注入到目标进程中在R3里直接用mov 指令, 这样就算被换到硬盘中也WINDOWS也能自动给你换回来. 如果自己接管相应的异常中断的话还是很麻烦!里面有些内幕现在还不很清楚,我已经蓝了N次了... 2008-5-22 15:06 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 34 楼另外自己切换CR3是非常危险的, 特别是切换CR3后去调用系统函数,90%情况会蓝! 2008-5-22 15:26 0
aleon 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	aleon 35 楼这个比较危险，被打断就挂了 2008-5-23 17:05 0
JSniperWYC 雪币： 80 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 70 回帖 136 粉丝 1 关注私信	JSniperWYC 1 36 楼关键就在这里了，楼主，想问一下，你可否做到在不接触任何句柄的情况下拿到EPROCESS吗？如果做不到，过你这关是小菜一碟。呵呵。 2008-5-23 23:28 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 37 楼笑话，我碰了句柄又如何，你能奈我何 2008-5-24 13:45 0
Bughoho 雪币： 1946 活跃值： (243) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 38 楼就算接触句柄也不一定能防得住 2008-5-24 14:39 0
zuowenying 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	zuowenying 39 楼 ............................................. 2008-5-24 21:48 0
yykingking 雪币： 210 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	yykingking 1 40 楼 APC~~~ 2008-5-25 20:50 0
Bughoho 雪币： 1946 活跃值： (243) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 41 楼意淫王出现了 2008-5-26 00:45 0
yykingking 雪币： 210 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	yykingking 1 42 楼应邀灌水来了~~~ 想读NP的进程数据还是蛮简单的，比较稳定又没有被防范的方法应该属于插入一个APC去读了~~ 也可以通过HOOK常用NATIVE API来读，不过都不是同步的~~~ 2008-5-26 17:22 0
YockW 雪币： 134 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 41 粉丝 0 关注私信	YockW 1 43 楼应邀来捧场～～貌似要用PsSetCreateProcessNotifyRoutine的话，要找一个能够存放自己回调函数的位置，然则，PsSetCreateProcessNotifyRoutine最多也就能设置8个回调而已。当然，你也可以针对某内核级的软件设置的回调清空换成自己的。但不赞成这么做…… ps:楼主是否能给个详细的方法呢？ 2008-5-26 22:06 0
taxuell 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	taxuell 44 楼好呀可以传源代码上来马不胜感激呀呵呵 2008-5-28 00:24 0
jjgogo 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 0 关注私信	jjgogo 45 楼不错哦！！！！支持下 2008-5-28 15:59 0
deryope 雪币： 232 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 141 粉丝 0 关注私信	deryope 1 46 楼感谢，正在找CR3的资料！ 2009-5-4 09:30 0
子木土木雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	子木土木 47 楼貌似有些深奥 2009-5-4 17:54 0
刘国华雪币： 104 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 48 楼学习，哦也 2009-5-4 21:24 0
guicomeon 雪币： 638 活跃值： (495) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	guicomeon 49 楼厉害~ 2009-5-4 22:15 0
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 50 楼顶啊, 偶也. 2009-5-5 08:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

NetRoc

发帖

108

回帖

490

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (66) ◀ 1 2 3 ▶
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 26 楼强大，学习。 2008-5-20 09:23 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 27 楼加标记学习！ 2008-5-20 11:40 0
qixideqie 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	qixideqie 28 楼此帖于 2008-05-17 19:13 被 forgot 编辑. 原因: 加一个哦也 2008-5-20 15:38 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 29 楼内核里面，没有谁更利害，只有谁更变态。 2008-5-21 08:24 0
lixiaolin 雪币： 254 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 47 粉丝 0 关注私信	lixiaolin 30 楼很好学习~~~~~~~~~~~~~~~~ 2008-5-21 09:34 0
xumn 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	xumn 31 楼新手，学习ing 2008-5-22 09:40 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 32 楼要是被换到硬盘文件中,就蓝了! 应该挂接保护异常中断!有空我完善一下 2008-5-22 14:39 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 33 楼其实最好的方法还是注入到目标进程中在R3里直接用mov 指令, 这样就算被换到硬盘中也WINDOWS也能自动给你换回来. 如果自己接管相应的异常中断的话还是很麻烦!里面有些内幕现在还不很清楚,我已经蓝了N次了... 2008-5-22 15:06 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 34 楼另外自己切换CR3是非常危险的, 特别是切换CR3后去调用系统函数,90%情况会蓝! 2008-5-22 15:26 0
aleon 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	aleon 35 楼这个比较危险，被打断就挂了 2008-5-23 17:05 0
JSniperWYC 雪币： 80 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 70 回帖 136 粉丝 1 关注私信	JSniperWYC 1 36 楼关键就在这里了，楼主，想问一下，你可否做到在不接触任何句柄的情况下拿到EPROCESS吗？如果做不到，过你这关是小菜一碟。呵呵。 2008-5-23 23:28 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 37 楼笑话，我碰了句柄又如何，你能奈我何 2008-5-24 13:45 0
Bughoho 雪币： 1946 活跃值： (243) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 38 楼就算接触句柄也不一定能防得住 2008-5-24 14:39 0
zuowenying 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	zuowenying 39 楼 ............................................. 2008-5-24 21:48 0
yykingking 雪币： 210 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	yykingking 1 40 楼 APC~~~ 2008-5-25 20:50 0
Bughoho 雪币： 1946 活跃值： (243) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 41 楼意淫王出现了 2008-5-26 00:45 0
yykingking 雪币： 210 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	yykingking 1 42 楼应邀灌水来了~~~ 想读NP的进程数据还是蛮简单的，比较稳定又没有被防范的方法应该属于插入一个APC去读了~~ 也可以通过HOOK常用NATIVE API来读，不过都不是同步的~~~ 2008-5-26 17:22 0
YockW 雪币： 134 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 41 粉丝 0 关注私信	YockW 1 43 楼应邀来捧场～～貌似要用PsSetCreateProcessNotifyRoutine的话，要找一个能够存放自己回调函数的位置，然则，PsSetCreateProcessNotifyRoutine最多也就能设置8个回调而已。当然，你也可以针对某内核级的软件设置的回调清空换成自己的。但不赞成这么做…… ps:楼主是否能给个详细的方法呢？ 2008-5-26 22:06 0
taxuell 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	taxuell 44 楼好呀可以传源代码上来马不胜感激呀呵呵 2008-5-28 00:24 0
jjgogo 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 57 粉丝 0 关注私信	jjgogo 45 楼不错哦！！！！支持下 2008-5-28 15:59 0
deryope 雪币： 232 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 141 粉丝 0 关注私信	deryope 1 46 楼感谢，正在找CR3的资料！ 2009-5-4 09:30 0
子木土木雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	子木土木 47 楼貌似有些深奥 2009-5-4 17:54 0
刘国华雪币： 104 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 236 粉丝 0 关注私信	刘国华 48 楼学习，哦也 2009-5-4 21:24 0
guicomeon 雪币： 638 活跃值： (495) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	guicomeon 49 楼厉害~ 2009-5-4 22:15 0
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 50 楼顶啊, 偶也. 2009-5-5 08:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复