记录1

最新推荐文章于 2023-11-24 18:32:11 发布
原创 最新推荐文章于 2023-11-24 18:32:11 发布 · 527 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种绕过ZwOpenProcess的方法,通过修改ntdll!ZwOpenProcess调用号,并利用addssdt进行跨进程操作。具体实现上,通过修改目标进程的EPROCESS.Pcb.DirectoryTableBase来实现傀儡进程的控制。

绕过ZwOpenProcess

修改ntdll!ZwOpenProcess 调用号,add ssdt

跨进程邪恶
傀儡进程的EPROCESS.Pcb.DirectoryTableBase[0] EPROCESS.Pcb.DirectoryTableBase[1]修改为目标进程

 

nooning
关注
12.进程挂靠
My classmates
10-22 976
进程与线程的关系: 一个逃程可以包含多个线程 一个进程至少要有一个线程 进程为线程提供资源,也就是提供Cr3的值, Cr3中存储的是页目录表基址, Cr3确定了,线程能访问的内存也就确定了。 进程与线程的关系 线程代码: mov eax, dword ptr ds:(0x12345678] CPU如何解析0x12345678这个地址呢? CPU解析线性地址时要通过页目录表来找对应的物理页,页目录...
13.跨进程读写内存
My classmates
10-22 4112
跨进程的本质是"进程挂靠”正常情况下, A进程的线程只能访问A进程的地址空间,如果A进程的线程想访问B进程的地址空间,就要修改当前的Cr3的值为B进程的页目录表基值(KPROCESS.DirectoryTableBase)。 即: mov cr3,B.DirectoryTableBase 跨进程操作 A进制中的线程代码: mov cr3,B.DirectoryTableBase //切换Cr3...
进程挂靠 详解
寻梦&之璐
02-15 4105
1.进程与线程的关系: 一个进程可以包含多个线程 一个进程至少要有一个线程 进程为线程提供资源,也就是提供Cr3的值,Cr3中存储的是页目录表基址,Cr3确定了,线程能访问的内存也就确定了 线程代码: mov eax,dword ptr ds:[0x12345678] CPU会如何解析这个0x12345678这个地址呢? 1.CPU解析线性地址时通过页目录表来找对应的物理页,页目录表基址存在Cr3寄存器中 2.当前的Cr3的值来源于当前的进程(_KPROCESS.Directory TableBase(+0
3.2 Windows驱动开发:内核CR3切换读写内存
LYSHARK
11-24 1万+
CR3是一种控制寄存器,它是CPU中的一个专用寄存器,用于存储当前进程的页目录表的物理地址。在x86体系结构中,虚拟地址的翻译过程需要借助页表来完成。页表是由页目录表和页表组成的,页目录表存储了页表的物理地址,而页表存储了实际的物理页框地址。因此,页目录表的物理地址是虚拟地址翻译的关键之一。 在操作系统中,每个进程都有自己的地址空间,地址空间中包含了进程的代码、数据和堆栈等信息。为了实现进程间的隔离和保护,操作系统会为每个进程分配独立的地址空间。在这个过程中,操作系统会将每个进程的页目录表的物理地址存储在
用cr3读写内存
liuhaidon1992的博客
01-08 2369
#define DIRECTORY_TABLE_BASE 0x028 // DirectoryTableBase UINT32 idTarget = 0; PEPROCESS epTarget = NULL; UINT32 idGame = 0; PEPROCESS epGame = NULL; UINT32 rw_len = 0; UINT64 base_addr = 0; ...
随班就读学生个别辅导记录1.doc
09-18
随班就读学生个别辅导记录1.doc
tensorflow学习记录1-3相关代码
最新发布
02-28
tensorflow学习记录1-3相关代码
计算器检定记录1
08-08
计算器检定记录1
OSPF实验记录1
08-08
OSPF实验记录1
6_8记录1
08-08
6_8记录1
内存管理 —— 地址转译
多看看书和文档、少写点垃圾博客和代码
07-11 958
1. 遍历函数     以下 IDC 脚本遍历所有函数、输出名字、起始地址、结束地址。
进程结构体
qq_18811919的博客
03-17 5388
进程结构体EPROCESS 每个windows进程在0环都有对应的结构体:EPROCESS这个结构体包含了进程所有重要的信息。 使用windbg查看:dt _EPROCESS EPROCESS与PEB是有区别的:EPROCESS在0环PEB在3环。 EPROCESS结构体属性(KPROCESS) +0x0 Pcb 是一个KPROCESS结构体 Windbg查看KPROCESS:dt _KPROCESS KPROCESS第一个属性: +0x0 Header DISPATCHER_HEARDER 只要是该DI
驱动开发:内核物理内存寻址读写
热门推荐
LYSHARK
06-26 2万+
在某些时候我们需要读写的进程可能存在虚拟内存保护机制,在该机制下用户的`CR3`以及`MDL`读写将直接失效,从而导致无法读取到正确的数据,本章我们将继续研究如何实现物理级别的寻址读写。首先,驱动中的物理页读写是指在驱动中直接读写物理内存页(而不是虚拟内存页)。这种方式的优点是它能够更快地访问内存,因为它避免了虚拟内存管理的开销,通过直接读写物理内存,驱动程序可以绕过虚拟内存的保护机制,获得对系统中内存的更高级别的访问权限。
从FS找进程页目录表基地址
谢绝(无视)留言与私信
10-17 1474
前言当前进程的CR3是当前进程页目录表基地址 用WinDbg从FS寄存器开始,可以找到指定进程页目录表基地址. 如果是查找非当前进程的页目录表基地址,就不能看CR3. 要直接去FS中找,直到找到_KPROCESS.DirectoryTableBase.根据CR3是当前进程的页目录表的规定,通过!process 0 0, 可以知道当前进程是哪个.记录kd> r fs fs=00000030kd>
CR0-4寄存器介绍
┌LiHoo┐
07-06 5786
控制寄存器(CR0~CR3)用于控制和确定处理器的操作模式以及当前执行任务的特性,如图4-3所示。 CR0中含有控制处理器操作模式和状态的系统控制标志; CR1保留不用; CR2含有导致页错误的线性地址; CR3中含有页目录表物理内存基地址,因此该寄存器也被称为页目录基地址寄存器PDBR(Page-Directory Base addressRegister)。     CR0
Windows各版本EPROCESS结构
漂泊心情
01-15 2334
Windows XP: +0x000 Pcb : _KPROCESS +0x000 Header : _DISPATCHER_HEADER +0x010 ProfileListHead : _LIST_ENTRY [ 0xffbcc030 - 0xffbcc030 ] +0x018 DirectoryTableBase : [2] 0x2807000 +0x020 LdtDescript
Win64 驱动内核编程-27.强制读写受保护的内存
zz_strive_2012的专栏
12-10 1786
强制读写受保护的内存 某些时候我们需要读写别的进程的内存,某些时候别的进程已经对自己的内存读写做了保护,这里说四个思路(两个R3的,两个R0的)。 方案1(R3):直接修改别人内存 最基本的也最简单的就是直接通过WriteProcessMemory 和 ReadProcessMemory对没有进行保护的程序的内存进行修改,一些单机游戏辅助什么的可能会有这种简单方式修改其他进程内存。 方案2(R3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值