Windows 驱动: 消除核心内存的只读保护

最新推荐文章于 2025-04-26 13:09:28 发布
最新推荐文章于 2025-04-26 13:09:28 发布
阅读量2.4k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Windows 内核驱动 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/IamRainLiang/article/details/2071702
本文介绍了一种在Windows NT/2000/XP系统中禁用核心内存保护的方法,通过修改CR0寄存器来实现只读内存区域的可写操作,并提供了重新启用内存保护的代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在很多机器上 SSDT 表是不可写的,写即导致机器无提示崩溃重启。这是需要去除核心内存的写保护:

 

//----------------------------------------------------------------------
//
// 设置核心内存访问保护
//
//----------------------------------------------------------------------
//
// SpinLock protection
//
static KSPIN_LOCK   gs_mmProtectionSpinLock;
static KIRQL    gs_OldIrql;

static ULONG CR0VALUE = 0;

//
// initialize the global data structures, when the driver is loading
//
NTSTATUS
mmProtection_LoadInit()
{
 //
 KeInitializeSpinLock(&gs_mmProtectionSpinLock);
 return STATUS_SUCCESS;
}

/*++

 Routine Description:

 禁用Windows NT/2000/XP的内存保护,使只读内存区可写

 Arguments:

 Return Value:

--*/
void mmDisableProtection()
{
 KeAcquireSpinLock(&gs_mmProtectionSpinLock, &gs_OldIrql);  //--------{{
 __asm
 {
  mov eax, cr0
  mov CR0VALUE, eax
  and eax, 0xFFFEFFFF
  mov cr0, eax
 }
}

/*++

 Routine Description:

 恢复Windows NT/2000/XP的内存保护

 Arguments:

 Return Value:

--*/
void mmEnableProtection()
{
 __asm
 {
  mov eax, CR0VALUE
  mov cr0, eax
 }
 KeReleaseSpinLock(&gs_mmProtectionSpinLock, gs_OldIrql);  //--------}}
}

系统架构设计师【第2章】: 计算机系统基础知识 (核心总结)
数据知道的博客
05-29 1万+
计算机系统 (Computer System)是指用于数据管理的计算机硬件、软件及网络组成的系统。它是按人的要求接收和存储信息,自动进行数据处理和计算, 并输出结果信息的机器系统。计算机系统可划分为硬件(子系统)和软件(子 系统)两部分。硬件由机械、电子元器件、磁介质和系统光介质等物理实体构成,例如处理器(含运算单元和 控制单元)、存储器、输入设备和输出设备等。软件是一系列按照特定顺序组织的数据和指令,并控制硬件完成指定的功能。可将计算机软件进一步分为系统软件和应用软件:系统软件。
C++ 字符串性能困境:从效率骤降到精准优化之路
weixin_45715405的博客
03-24 65
测量驱动优化:借助perf或VTune定位瓶颈,确保优化有的放矢。分层优化:先优化算法,再细化代码细节。
读写游戏内存驱动,用于读写游戏内存驱动,过NP及游戏保护
06-15
读写游戏内存驱动,用于读写游戏内存驱动,过NP及游戏保护
驱动读写(只有读)
qq_41071646的博客
03-31 4963
哈哈 今天看见女装大佬 看我们 这群猪头太菜了了 然后出了一个驱动读写的教程 然后这里是链接 https://www.bilibili.com/video/av26193169?t=992&p=19 这篇博客是根据 这个 教程写的 然后 大佬 说了一个函数 感觉挺有必要注意的 if (!MmIsAddressValid(DbgDir)) break; 这样判断内存是...
Windows内核驱动程序保护实战指南
最新发布
weixin_42575109的博客
04-26 995
驱动开发中,一个强大的工具链是必不可少的。工具包可能包含编译器、调试器、版本控制、代码分析工具等。通常,Windows平台下我们会选择Microsoft Visual Studio,因为它提供了丰富的驱动开发支持。
如何写windows系统已保护内存区域
08-13 1090
indows系统在某些版本下对某些内存区域启用了写保护的功能,因为这些区域一般合法程序是不可能修改其内容的,那么我们如何来写这些内存呢?PS:1) 这些系统包括:windows xp与windows 2003  2) CPU提供写保护的功能是从486开始的  3) 一般合法程序不包括杀毒软件,因为他们在Ho
驱动开发 判断内存是否可读 可写
05-17 702
MmIsAddressValid 内存可读 返回真(使用这个家伙最好带上__try __exception) 写入内存直接开启cr0 写就OK了 转载于:https://www.cnblogs.com/kuangke/p/5501361.html
只读内存区的写操作
ch-o-bits~
11-21 3460
修改pte属性达到写只读内存的目的
文件系统交互全解析:Windows程序设计第6版中的核心技巧
[文件系统交互全解析:Windows程序设计第6版中的核心技巧](https://img-blog.csdnimg.cn/f06ab13c69524cc4a06d3eb1defdf455.png) # 摘要 本文详细探讨了Windows环境下的文件系统交互,涵盖了从基础架构到安全保护的...
操作系统内存管理:地址转换机制与分页机制的深度解析(核心技术掌握)
本论文综合探讨了操作系统中内存管理的核心技术—分页机制的原理、实现以及应用。第一章概述了内存管理的基本概念,为后续深入讨论奠定了基础。第二章详细解析了内存地址转换机制,包括逻辑地址与物理地址的区别、...
CUDA进阶:内存模型
Shilong的博客
09-19 1434
CUDA内存模型
Win64 驱动内核编程-27.强制读写受保护内存
zz_strive_2012的专栏
12-10 1678
强制读写受保护内存 某些时候我们需要读写别的进程的内存,某些时候别的进程已经对自己的内存读写做了保护,这里说四个思路(两个R3的,两个R0的)。 方案1(R3):直接修改别人内存 最基本的也最简单的就是直接通过WriteProcessMemory 和 ReadProcessMemory对没有进行保护的程序的内存进行修改,一些单机游戏辅助什么的可能会有这种简单方式修改其他进程内存。 方案2(R3...
32位/64位WINDOWS驱动之-突破进程保护跨进程写内存方法3
a756598009的博客
07-05 827
代码如下: 代码如下: 添加一个按钮为写数据2,按钮ID为 IDC_BUTTON3_WRITE2 添加控制码 D0027_28_MFCTEST 创建一个基于对话框的程序 为了测试方便 关闭属性里面的-链接器-高级- 随机基址 - 选择否 RELEASE里面的也要选择否 添加代码: CD002728MFCTESTDlg dlg;//局部变量 代码如下: 我们把写入程序编辑框中的地址放到 ,D0027_28写数据按钮中 以上就是突破保护跨进程写内存的方法了。
32位/64位WINDOWS驱动之突破进程保护CR0方式写入只读内存
a756598009的博客
07-08 581
0x400000#define PAGE_READONLY 0x02 只读#define PAGE_READWRITE 0x04 可读可写#define PAGE_WRITECOPY 0x08 写时复制#define PAGE_EXECUTE 0x10 可执行#define PAGE_EXECUTE_READ 0x20 可读可执行#define PAGE_EXECUTE_READWRITE 0x40 可读可写可执行。
什么是内存(二):虚拟内存
weixin_30602505的博客
11-09 143
通过上一篇文章的扯淡,我们应该已经明白了存储器的层次结构,技术细节很复杂,但是思想却不难理解,因为就是很简单的缓存思想。那么本文我们开始讨论关于内存的另一个话题.虚拟内存。其实思想也是很容易理解的。 我不知道有多少人听过虚拟内存这个概念,但是虚拟内存是计算机系统最重要的概念之一,并且它成功的主要原因就是它一直在沉默的,自动的工作,换句话说,我们这些做应用的程序员根本不需要干涉它的工作过程...
过 DNF TP 驱动保护(二)
weixin_34404393的博客
06-12 870
文章目录:                   01. 博文简介: 02. 环境及工具准备: 03. 分析 TP 所做的保护: 04. 干掉 NtOpenProcess 中的 Deep InLine Hook: 05. 干掉 NtOpenThread 中的 Deep InLine Hook: 06. 干掉 NtReadVirtualMemory 中的 InLine Hook: 0...
windows修改内存读写权限_Windows提权逆向
weixin_39794213的博客
11-21 672
本文为看雪论坛优秀文章看雪论坛作者ID:东方二狗目录01 Windows内核提权思路提权一提权二提权三02 成因03 利用04 逆向窗口站 SetBitmap 总结一个小白对于Windows提权以及逆向的学习,文章中说的思路可能有不对的,希望不要介意!!!01 Window...
驱动开发:内核文件读写系列函数
热门推荐
优快云
06-09 2万+
在应用层下的文件操作只需要调用微软应用层下的`API`函数及`C库`标准函数即可,而如果在内核中读写文件则应用层的API显然是无法被使用的,内核层需要使用内核专有API,某些应用层下的API只需要增加Zw开头即可在内核中使用,例如本章要讲解的文件与目录操作相关函数,多数ARK反内核工具都具有对文件的管理功能,实现对文件或目录的基本操作功能也是非常有必要的。 首先无论在内核态还是在用户态,我们调用的文件操作函数其最终都会转换为一个IRP请求,并发送到文件系统驱动上的`IRP_MJ_READ`派遣函数里面,这
关于windows内核下的读写锁
gj333的专栏
01-30 1713
ERESOURCE对象-》》相当于读写锁,即用于同时只能有一个WRITER写入,多个READER读的情况: ExInitializeResourceLite 初始化一个ERESOURCE对象; ExAcquireResourceExclusiveLite 用于获取ERESOURCE(写访问); ExAcquireResourceSharedLite 用于获取ERESOURCE(读
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值