摘要:
1. 切换目标进程的CR3通常,跨进程读写内存,用到ReadProcessMemory, WriteProcessMemory, 但需要进程句柄,如果目标进程受到保护,可能获得进程句柄会失败.ReadProcessMemory最后会调用到KeStackAttachProcess附加到目标进程上切换进程环境进行拷贝的, 所以想到拿到目标进程的虚拟内存内容,可以将目标进程的页目录基地址放入CR3中即可.首先要获得目标进程的cr3寄存器,即页目录基地址(开启PAE, 页目录指针表), 每个进程在内核里都有一个EPROCESS结构.nt!_EPROCESS+0x000 Pcb : _KPROCESS+ 阅读全文
2010年12月31日 #
摘要:
/*************************************************************************************** *AUTHOR: *DATE:2009-6-15 *MODULE:ReadMemory.C * *Command: *SourceofIOCTRLSampleDriver * *Description: *DemonstratescommunicationsbetweenUSERandKERNEL. * ********************************************************** 阅读全文