Windows X64关闭内存写保护和打开内存写保护的代码

最新推荐文章于 2023-07-08 16:50:51 发布
转载 最新推荐文章于 2023-07-08 16:50:51 发布 · 5.4k 阅读 · 5

本文提供了关闭和打开内存写保护的代码实现。通过修改CR0寄存器来控制内存写保护的状态,包括关闭内存写保护的函数WPOFFx64()及恢复内存写保护的函数WPONx64()。


关闭内存写保护的代码:

KIRQL WPOFFx64()
{
  KIRQL irql=KeRaiseIrqlToDpcLevel();
  UINT64 cr0=__readcr0();
  cr0 &= 0xfffffffffffeffff;
  __writecr0(cr0);
  _disable();
  return irql;
}


打开内存写保护的代码:
void WPONx64(KIRQL irql)
{
  UINT64 cr0=__readcr0();
  cr0 |= 0x10000;
  _enable();
  __writecr0(cr0);
  KeLowerIrql(irql);
}

Win64 驱动内核编程-3.内核里使用内存
墨鱼菜鸡
12-18 206
内核里使用内存 内存使用,无非就是申请、复制、设置、释放。在C语言里,它们对应的函数是:malloc、memcpy、memset、free;在内核编程里,他们分别对应ExAllocatePool、RtlMoveMemory、 RtlFillMemory、ExFreePool。它们的原型分别是: ...
x86分页内存布局与CR3骚操作读写内存
最新发布
Frank MARS的火星
07-04 1595
我们知道游戏外G的原理是通过读取游戏进程的内存,取出游戏规则中不允许展示给玩家的关键数据,达到玩家本人对手信息差的目的。但普通的用户态API是可以读其他进程的内存,比如ReadProcessMemory函数,但分分钟就能被anticheat检测到,本篇文章将带领各位实现内核态下通过切换到目标进程的CR3寄存器达到无痕读写内存的目的。
x64驱动 关闭&开启 写时保护
墨鱼菜鸡
07-06 457
背景 在内核里想要写入“别人的”内存(一般指 NTOS 等系统模块的内存空间),需要遵守一个规则 : IRQL内存保护。 IRQL称为中断请求级别,从0~31 共32个级别内存保护可以打开关闭,如果在内存处于保护状...
Windows x64隐藏可执行内存
鬼手的博客
12-04 8094
Windows x64隐藏可执行内存
VC++ 实现WPON、WPOFF函数(打开/关闭内存保护)
liulilittle的博客
05-04 345
代码】VC++ 实现WPON、WPOFF函数(打开/关闭内存保护)
32位/64位WINDOWS驱动之突破进程保护CR0方式写入只读内存
a756598009的博客
07-08 702
0x400000#define PAGE_READONLY 0x02 只读#define PAGE_READWRITE 0x04 可读可写#define PAGE_WRITECOPY 0x08 写时复制#define PAGE_EXECUTE 0x10 可执行#define PAGE_EXECUTE_READ 0x20 可读可执行#define PAGE_EXECUTE_READWRITE 0x40 可读可写可执行。
驱动学习三
weixin_41693985的博客
11-03 207
#include<ntddk.h> #include<windef.h> #include<intrin.h> PVOID OpenProcessAddr = NULL; PVOID jmpAddr = NULL; KIRQL WPOFFx64() { KIRQL irql = KeRaiseIrqlToDpcLevel(); DWORD64 cr0 =__readcr0(); cr0 &= 0xfffffffffffeffff
固件升级失败深度剖析:从校验错误到Flash写保护的6步排查法
!...# 1. 固件升级失败的常见现象与核心挑战 固件升级失败在嵌入式系统开发中是高频且棘手的问题,常表现为设备“变砖”、升级过程中断、Bootloader无法跳转等现象。其背后涉及软硬件协同、通信稳定性、存储可靠性等...
内存SPD刷写全面解析:从新手到高手的成长路径
![内存SPD刷写全面解析:从...通过对SPD数据结构的解析,深入探讨了刷写过程中的关键技术理论。文章还提供了从初学者到高手不同级别的实践操作指南,帮助用户在实际操作中避免常见问题。最后,本文分析了刷写过程中可
Win7快捷键及系统蓝屏代码含义
02-18
- **作用:** 直接打开Windows资源管理器,方便用户浏览文件文件夹。 3. **打开资源管理器搜索结果:** `Win + F` - **作用:** 打开资源管理器并自动进入搜索模式,便于快速查找文件。 4. **锁定计算机:** `...
【跨平台探讨】:VC++在不同Windows版本中磁盘扇区操作的对比:差异分析实践指导
文章首先介绍了磁盘扇区操作的基础知识,然后详细论述了在Windows平台下,通过API进行磁盘扇区访问的理论与技术细节,包括不同Windows版本对磁盘操作的影响硬件兼容性问题。通过实践章节,本文提供了在VC++开发...
零环状态下,通过修改cr3,对用户层数据进行修改失败的情况分析
被遗弃的庸才博客
10-19 1578
今天写代码的时,遇到一个问题,就是在r0的状态下通过修改cr3寄存器的值对用户层某个进程的数据或者代码段进行修改,一直出现修改不了的情况,首先看一下代码(网上找的,应该是某个大手子的代码) ULONG64 pDTB = 0, OldCr3 = 0, vAddr = 0, OldCr0; //Get DTB pDTB = Get64bitValue((UCHAR*)Process + DI...
C++编写操作系统(1):基于 EFI 的 Bootloader
alnd6275的博客
04-21 1747
很久以前就对操作系统很好奇,用了这么多年Windows,对他的运作机理也不是很清楚,所以一直想自己动手写一个,研究一下操作系统究竟是怎么实现的。后来在网上也找到过一些教程(比如:《自己动手写操作系统》),大都是先要用汇编写活动分区的第一个扇区(MBR)。13年4月左右我也曾经跟着教程尝试过,用汇编调用BIOS中断读扇区、加载Bootstrap。不得不说用汇编很容易出错,可读性也不好,所以...
关闭开启写保护
qq_41490873的博客
08-22 1765
KIRQL WPOFF() { KIRQL OldIrql = KeRaiseIrqlToDpcLevel(); //ULONG_PTR 这个类型在x86上是32位 x64就是64位 ULONG_PTR cr0 = __readcr0(); #ifdef _X86_ cr0 &= 0xfffeffff; #else cr0 &= 0xfffffffffffeffff; #endif _disable(); //关闭中断 __writecr0(cr0); //关闭写保
驱动开发:内核CR3切换读写内存
热门推荐
优快云
09-25 2万+
首先CR3是什么,CR3是一个寄存器,该寄存器内保存有页目录表物理地址(PDBR地址),其实CR3内部存放的就是页目录表的内存基地址,运用CR3切换可实现对特定进程内存地址的强制读写操作,此类读写属于有痕读写,多数驱动保护都会将这个地址改为无效,此时CR3读写就失效了,当然如果能找到CR3的正确地址,此方式也是靠谱的一种读写机制。至于进程将CR3改掉了读取不到该寄存器该如何处理,这里我找到了一段参考代码,可以实现寻找CR3地址这个功能。结构,查找结构的方法也很简单,依次遍历进程并对比进程名称即可得到。
linux系统调用拦截Centos7.6(三)の内核调用拦截
新火燎塬的博客
11-07 697
执行rmmod hello 卸载模块。cd /opt/hello 目录。
Win64 驱动内核编程-27.强制读写受保护的内存
天使也掉毛
03-31 2万+
强制读写受保护的内存     某些时候我们需要读写别的进程的内存,某些时候别的进程已经对自己的内存读写做了保护,这里说四个思路(两个R3的,两个R0的)。  方案1(R3):直接修改别人内存 最基本的也最简单的就是直接通过WriteProcessMemory  ReadProcessMemory对没有进行保护的程序的内存进行修改,一些单机游戏辅助什么的可能会有这种简单方式修改其他进
Win10 1903过TP的双机调试
被遗弃的庸才博客
11-16 4941
了解内核知识已经有一段时间了,想双机调试一下XP,网上也找了不少资料。https://bbs.pediy.com/thread-248912.htm https://blog.youkuaiyun.com/kingswb/article/details/51194105差不多我用到的大部分代码都是从上面cv(Ctrl+c---->Ctrl+v)下来的1、首先解决The context is parti...
Cr0内核打开关闭写保护
haodawei123的博客
02-12 3714
////////////////////////////////////////////下面是32位编程实现///////////////////////////////////////////////////////////////////// // 关闭写保护 #pragma PAGEDCODE void OpenGate() { __asm { cli;//将处理器标志寄存器的中断标志位清0...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值