支持一对一答疑的编程作家朱文伟的博客！

简单介绍了如何通过MDL映射的方式实现进程读写操作，本章将通过如上案例实现远程进程反汇编功能，此类功能也是ARK工具中最常见的功能之一，通常此类功能的实现分为两部分，内核部分只负责读写字节集，应用层部分则配合反汇编引擎对字节集进行解码，此处我们将运用。Capstone旨在成为安全社区中二进制分析和反汇编的终极反汇编引擎，该引擎支持多种平台的反汇编，非常推荐使用。首先是实现驱动部分，驱动程序的实现是一成不变的，仅仅只是做一个读写功能即可，完整的代码如下所示；反汇编函数，该函数的解释如下所示；

MDL内存读写是最常用的一种读写模式，通常需要附加到指定进程空间内然后调用内存拷贝得到对端内存中的数据，在调用结束后再将其空间释放掉，通过这种方式实现内存读写操作，此种模式的读写操作也是最推荐使用的相比于CR3切换来说，此方式更稳定并不会受寄存器的影响。写入时与读取类似，只是多了锁定页面和解锁操作。

在开始学习内核内存读写篇之前，我们先来实现一个简单的内存分配销毁堆的功能，在内核空间内用户依然可以动态的申请与销毁一段可控的堆空间，一般而言内核中提供了。则用于指定需要分配的内存空间大小，此参数的初始值指定区域的大小（以字节为单位）并向上舍入到下一个主机页大小边界。此函数则用于销毁堆内存，当我们需要分配内核空间时往往需要切换到对端进程栈上再进行操作，接下来。则用于接收分配堆地址的首地址，此处指向将接收已分配页面区域基址的变量的指针。在对特定进程分配堆时第一步就是要切入到该进程的进程栈中，此时可通过。

入口处都会存在这样一个驱动对象，该对象内所包含的就是当前所加载驱动自身的一些详细参数，例如驱动大小，驱动标志，驱动名，驱动节等等，每一个驱动程序都会存在这样的一个结构。这一系列则是微软的调用号，不同的RIP代表着不同的涵义，但一般驱动也就会用到如下这几种调用号。编译这段程序，签名并运行，我们即可看到如下输出信息，此时当前自身驱动的详细参数都可以被输出；编译这段程序，签名并运行，我们即可看到如下输出信息，此时当前自身驱动的详细参数都可以被输出；即可得到全部的数据，这段代码可以写成如下样子，其中的。