插APC驱动读写

最新推荐文章于 2024-02-02 14:17:41 发布
最新推荐文章于 2024-02-02 14:17:41 发布
阅读量1.2k 收藏 5
点赞数 1
文章标签: 驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41208289/article/details/88201039
版权 
//插APC温柔读内存
BOOLEAN APCReadProcessMemory(ULONG PID, PVOID targetaddress, ULONG length, PVOID retdata)
{
	PEPROCESS pepro;
	KAPC_STATE kapc = { 0 };
	pepro = LookupProcess((HANDLE)PID);
	if (pepro == NULL)
		return FALSE;
	ObDereferenceObject(pepro);
	__try
	{
		KeStackAttachProcess(pepro, &kapc);
		ProbeForRead(targetaddress, length, sizeof(CHAR));
		RtlCopyMemory(retdata, targetaddress, length);
		KeUnstackDetachProcess(&kapc);
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		KeUnstackDetachProcess(&kapc);
		return FALSE;
	}	
	return TRUE;
}


//插APC温柔写内存
BOOLEAN APCWriteProcessMemory(ULONG PID, PVOID targetaddress, ULONG length, PVOID Indata)
{
	PEPROCESS pepro;
	KAPC_STATE kapc = { 0 };
	pepro = LookupProcess((HANDLE)PID);
	if (pepro == NULL)
		return FALSE;
	ObDereferenceObject(pepro);
	ULONG64 Cr0;
	__try
	{
		KeStackAttachProcess(pepro, &kapc);
		ProbeForWrite(targetaddress, length, sizeof(CHAR));
		_disable();
		Cr0 = __readcr0();
		Cr0 &= 0xfffffffffffeffff;
		__writecr0(Cr0);
		_enable();
		memcpy(targetaddress, Indata, length);
		_disable();
		Cr0 |= 10000;
		__writecr0(Cr0);
		_enable();
		KeUnstackDetachProcess(&kapc);
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		_disable();
		Cr0 |= 10000;
		__writecr0(Cr0);
		_enable();
		KeUnstackDetachProcess(&kapc);
		return FALSE;
	}
	return TRUE;
}

 

CalvinXu17
关注
驱动读写
gamehok的博客
03-17 851
BOOLEAN APCReadProBOOLEAN APCReadProcessMemory(ULONG PID, PVOID targetaddress, ULONG length, PVOID retdata){ PEPROCESS pepro; KAPC_STATE kapc = { 0 }; pepro = LookupProcess((HANDLE)PID); if (pepro ==...
Win64 驱动内核编程-27.强制读写受保护的内存
墨鱼菜鸡
12-18 265
强制读写受保护的内存 某些时候我们需要读写别的进程的内存,某些时候别的进程已经对自己的内存读写做了保护,这里说四个思路(两个R3的,两个R0的)。 方案1(R3):直接修改别人内存 最基本的也最简单的就是直接通过WriteProcessMemory和ReadProcessMemory对没有进...
APC读写内存
liuhaidon1992的博客
01-08 836
#include "ntddk.h" #include "a_header.h" NTKERNELAPI NTSTATUS PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process); NTKERNELAPI VOID NTAPI KeStackAttachProcess(PEPROCESS Process, PKAPC_...
入用户APC
u012129783的博客
08-24 756
每个_Kthread都有一个成员Alerted,默认为0,表示是否可以被APC唤醒。所以下面这段程序,即使入了APC,但是t线程仍然不会执行。 让t线程执行APC函数的方法是使t线程变成可被唤醒状态,使用函数SleepEx(时间,是否可以唤醒线程),第二个参数为true,Alerted设置为1,即可被唤醒;在APC时,APC函数就会执行。 #include "stdafx.h" #inc...
APC实现DLL注入
十年磨一剑,霜刃未曾试!
01-19 2587
#include #include int InjectDllWithApc(char DllFullPath[MAX_PATH], ULONG pid ) { HANDLE hProcess,hThread,hThreadSnap = INVALID_HANDLE_VALUE; THREADENTRY32 te32 = {0} ; HMODULE hDll = GetM
windows内核学习之APC队列得入过程
windows小菜鸡的博客
11-30 269
x64内存读写驱动
03-27
标题中的“x64内存读写驱动”指的是一个专为64位(x64架构)操作系统设计的驱动程序,它的主要功能是允许程序在内存中进行读取和写入操作。这种驱动通常用于游戏修改、调试或者性能优化场景,因为它们能够绕过应用...
小宇读写模块.ec
07-16
易语言:驱动读写模块,专业。内含dll注入方法,APC注入,远程线程注入,专业的编写辅助模块。
ring3用户级应用程序与ring0内核级驱动程序之间的调用,通信.zip
01-25
例如,网络驱动会监听特定的设备文件,用户级的网络应用程序通过读写这些文件来发送和接收数据。 5. **注册表通信**:驱动可以通过注册表设置和读取配置信息,用户级程序也可以修改注册表来影响驱动的行为。不过,...
APC注入
最新发布
Dokii_i的博客
02-02 727
线程调用SleepEx、SignalObjectAndWait、MsgWaitForMultipleObjectsEx、WaitForMultipleObjectsEx、WaitForSingleObjectEx函数时会进入警告状态,系统会产生一个软中断,线程再次被唤醒时会检查APC队列执行所有APC函数。_KAPC_STATE.KernelApcPending为1则调用 KiDeliverApc 执行APC函数,执行完再循环遍历。用户APC:由应用程序产生,在内核、用户层切换时使用不同栈。
驱动读写模块(永不非法)
10-17
永远不非法的驱动读写模块。不蓝屏,支持所有系统!包括64位 可读写T X旗下所有游戏,其它游戏也可以正常读写
驱动通信读写等等一个模块
03-17
通信读写驱动
APC注入实现代码
07-30
纯Ring0 + Ring3 交互
x64读写驱动源码
05-12
x64读写驱动源码 对于想学习64位驱动 研究内核的人有一定参考价值``````````````
64位读写驱动
04-01
64位读写驱动
3.APC的挂入过程
My classmates
10-23 710
无论是正常状态还是挂靠状态,都有两个APC队列,一个内核队列,一个用户队列。 每当要挂入一个APC函数时,不管是内核APC还是用户APC,内核都要准备一个KAPC的数据结构,并且将这个KAPC结构挂到相应的APC队列中。 kd> dt _kapc nt!_KAPC +0x000 Type //类型APC类型为0x12 +0x002 Size //本结构体的大小0x30...
驱动读写文件
u010355540的专栏
05-11 1854
驱动中有时候需要进行写文件的操作,通常是调用ZwCreateFile,ZwWriteFile等函数, 但是这些函数往往需要工作在PASSIVE_LEVEL中断级上,而在回调函数中往往是在DISPACH 中断级上,这样进行操作在用windbg单步调试的时候可以通过,但是在直接运行的时 候系统会出现蓝屏,这个时候可以把相应的操作封装成一个函数,调用工作者线程来进行 完成。   首先,为了测
《Windows驱动开发技术详解》之读写操作
imxiangzi的专栏
08-27 2502
缓冲区方式读写操作 设置缓冲区读写方式: 读写操作一般是由ReadFile和WriteFile函数引起的,这里先以WriteFile函数为例进行介绍。WriteFile要求用户提供一段缓冲区,并且说明缓冲区的大小,然后WriteFile将这段内存的数据传入到驱动程序中。这种方法,操作系统将应用程序提供缓冲区数据直接复制到内核模式的地址中。这样做,比较简单的解决了将用户地址传入驱
内核中通过给线程apc注入dll
sgzwiz的专栏
03-03 7914
void ApcLoadDll(PVOID NormalContext, PVOID SystemArgument1, PVOID SystemArgument2); void ApcLoadDllEnd(); PMDL pMdl = NULL; void ApcKernelRoutine( IN struct _KAPC *Apc, IN OUT PKNORMAL_ROUTINE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值