[原创]另一种读写进程内存空间的方法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]另一种读写进程内存空间的方法

发表于: 2008-5-16 17:16 61898

[原创]另一种读写进程内存空间的方法

NetRoc

2008-5-16 17:16

61898

cc682
http://netroc682.spaces.live.com/
丢一个比较难防的读写其他进程内存空间的方法出来，嘿嘿。貌似我还没想到什么好办法可以防住的。
内存空间不能跨进程访问的原因主要在于不同进程都有自己的页目录和页表。进程切换的很大一块也就是切换掉页目录。
Windows自己的ReadProcessMemory最终也是通过KeStackAttachProcess附加到目标进程空间执行拷贝的。但是中间的N个内核函数调用现在被很多保护系统Hook掉并保护起来了，所以要通过这层层关卡读到东西还是不那么简单的。Unhook？自己实现内核函数？都很麻烦。
其实，仅仅是需要拿到目标进程的页目录，然后直接从目标地址拷贝出来而已，完全可以用简单得多的办法来达到这个目的。
所有的XXAttachProcess函数最终都通过_KiSwapProcess切换进程环境，_KiSwapProcess中会将目标进程的页目录指针放入CR3。这个过程我们可以自己来实现，唯一需要的就是拿到目标进程的EPROCESS而已，而这有无数种方法可以达到。整个过程基本上没有能当作非正常访问的证据以阻止掉的。
首先来看一下几个内核结构：
每个进程都有一个内核里面的进程结构_EPROCESS，前面几个字段如下：

typedef struct _EPROCESS {
    KPROCESS Pcb;
    EX_PUSH_LOCK ProcessLock;
……

typedef struct _KPROCESS {
    DISPATCHER_HEADER Header;
    LIST_ENTRY ProfileListHead;
    ULONG_PTR DirectoryTableBase[2];
……

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#系统底层

收藏・113

免费・7

支持

最新回复 (66) 1 2 3 ▶
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼这不是肯德基 2008-5-16 17:22 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 3 楼不会说肯德基，只有顶。 2008-5-16 17:54 0
rick 雪币： 288 活跃值： (112) 能力值： ( LV12，RANK：290 ) 在线值：发帖 23 回帖 207 粉丝 2 关注私信	rick 7 4 楼强，顶。。。。 2008-5-16 19:10 0
fancily 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 132 粉丝 0 关注私信	fancily 5 楼强....烈学习... 2008-5-16 19:31 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 6 楼汗..... 2008-5-16 21:52 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 7 楼这不是肯德基~~这不是肯德基~~ 2008-5-16 21:55 0
linyboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	linyboy 8 楼这种方法很好 2008-5-17 06:32 0
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 9 楼这是麦当劳 2008-5-17 07:35 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 10 楼这也不是麦当劳 2008-5-17 08:23 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 11 楼那这是啥呢 2008-5-17 08:28 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 12 楼 hook int 14 模仿 armadillo 的 copymemII，直接改cr3就找不到了 2008-5-17 13:04 0
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 13 楼内核里面，没有谁更利害，只有谁更变态。这种较量最后吃亏的总是正常软件。挂Trap0E是很危险滴，搞你的办法也是多多滴，嘿嘿 2008-5-17 16:56 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 14 楼你搞不了我，我不懂内核，内核都是大牛玩的，我也不会写驱动，不给你机会搞我。哦也。 2008-5-17 19:09 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 15 楼我也来加一个哦也 2008-5-17 19:33 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 16 楼很强悍，学习。 2008-5-17 21:27 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 17 楼我是外星人，哦耶 2008-5-17 22:25 0
菜菜小J 雪币： 202 活跃值： (151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 92 粉丝 0 关注私信	菜菜小J 18 楼妈妈说咱啃不起! 感谢楼主！ 2008-5-17 23:49 0
XiaoYo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	XiaoYo 19 楼好东西收下~ 2008-5-19 08:38 0
wsyzyddd 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 124 粉丝 0 关注私信	wsyzyddd 1 20 楼我加2个"哦也" 2008-5-19 10:08 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 21 楼说了就做,学习一个 2008-5-19 11:39 0
wttxjp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wttxjp 22 楼这样写得控制好中断 2008-5-19 17:06 0
driverox 雪币： 199 活跃值： (17) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 77 粉丝 2 关注私信	driverox 2 23 楼俺也来一个：哦也 --- 收藏了！ 2008-5-19 19:44 0
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 196 粉丝 0 关注私信	gdlian 24 楼很容易蓝屏的吧 2008-5-19 20:02 0
cpuArt 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	cpuArt 25 楼膜拜中。。。 2008-5-20 01:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

NetRoc

发帖

108

回帖

490

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (66) 1 2 3 ▶
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 2 楼这不是肯德基 2008-5-16 17:22 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 3 楼不会说肯德基，只有顶。 2008-5-16 17:54 0
rick 雪币： 288 活跃值： (112) 能力值： ( LV12，RANK：290 ) 在线值：发帖 23 回帖 207 粉丝 2 关注私信	rick 7 4 楼强，顶。。。。 2008-5-16 19:10 0
fancily 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 132 粉丝 0 关注私信	fancily 5 楼强....烈学习... 2008-5-16 19:31 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 6 楼汗..... 2008-5-16 21:52 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 7 楼这不是肯德基~~这不是肯德基~~ 2008-5-16 21:55 0
linyboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 18 粉丝 0 关注私信	linyboy 8 楼这种方法很好 2008-5-17 06:32 0
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 9 楼这是麦当劳 2008-5-17 07:35 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 10 楼这也不是麦当劳 2008-5-17 08:23 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 11 楼那这是啥呢 2008-5-17 08:28 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 12 楼 hook int 14 模仿 armadillo 的 copymemII，直接改cr3就找不到了 2008-5-17 13:04 0
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 13 楼内核里面，没有谁更利害，只有谁更变态。这种较量最后吃亏的总是正常软件。挂Trap0E是很危险滴，搞你的办法也是多多滴，嘿嘿 2008-5-17 16:56 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 14 楼你搞不了我，我不懂内核，内核都是大牛玩的，我也不会写驱动，不给你机会搞我。哦也。 2008-5-17 19:09 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 15 楼我也来加一个哦也 2008-5-17 19:33 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 16 楼很强悍，学习。 2008-5-17 21:27 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 17 楼我是外星人，哦耶 2008-5-17 22:25 0
菜菜小J 雪币： 202 活跃值： (151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 92 粉丝 0 关注私信	菜菜小J 18 楼妈妈说咱啃不起! 感谢楼主！ 2008-5-17 23:49 0
XiaoYo 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	XiaoYo 19 楼好东西收下~ 2008-5-19 08:38 0
wsyzyddd 雪币： 215 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 124 粉丝 0 关注私信	wsyzyddd 1 20 楼我加2个"哦也" 2008-5-19 10:08 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 21 楼说了就做,学习一个 2008-5-19 11:39 0
wttxjp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wttxjp 22 楼这样写得控制好中断 2008-5-19 17:06 0
driverox 雪币： 199 活跃值： (17) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 77 粉丝 2 关注私信	driverox 2 23 楼俺也来一个：哦也 --- 收藏了！ 2008-5-19 19:44 0
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 196 粉丝 0 关注私信	gdlian 24 楼很容易蓝屏的吧 2008-5-19 20:02 0
cpuArt 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	cpuArt 25 楼膜拜中。。。 2008-5-20 01:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复