一、新建一个过保护头文件和源文件
1、源文件内容
#include <ntifs.h> #include "过保护.h" BOOLEAN KReadProcessMemory(IN PEPROCESS 目标进程, IN PVOID 目标地址, IN UINT32 目标长度, IN OUT PVOID 返回数据) { KAPC_STATE apc_state; RtlZeroMemory(&apc_state, sizeof(KAPC_STATE)); //申请内核内存,在所有空间都可使用 PVOID 内核内存 = ExAllocatePool(NonPagedPool, 目标长度); DbgPrint("nxyn:目标地址=%p 返回数据=%p", 目标地址, 返回数据); //进入目标进程内存空间,不是通过openprocess获取进程,而是通过一个结构体指针获取进程 KeStackAttachProcess((PVOID)目标进程, &apc_state); //判断目标地址是否可以访问 BOOLEAN 是否能访问 = MmIsAddressValid(目标地址); if (是否能访问) { //读取内容 RtlCopyMemory(内核内存, 目标地址, 目标长度); } else { KdPrint(("nxyn:不能读取")); } //将数据分离,就可以随意访问数据 KeUnstackDetachProcess(&apc_state); //将数据通过内核内存返回 RtlCopyMemory(返回数据, 内核内存, 目标长度); ExFreePool(内核内存); return 是否能访问; } int ReadProcessMemoryForPid(UINT32 dwPid, PVOID pBase, PVOID lpBuffer, UINT32 nSize) { //根据pid获取PEPROCESS PEPROCESS Seleted_pEPROCESS = NULL; if (PsLookupProcessByProcessId((PVOID)(UINT_PTR)(dwPid), &Seleted_pEPROCESS) == STATUS_SUCCESS) { BOOLEAN br = KReadProcessMemory(Seleted_pEPROCESS, (PVOID)pBase, nSize, lpBuffer); ObDereferenceObject(Seleted_pEPROCESS); if (br) { return nSize; } } else { KdPrint(("nxyn:错误")); } return STATUS_SUCCESS; }
2、头文件内容
#pragma once int ReadProcessMemoryForPid(UINT32 dwPid, PVOID pBase, PVOID lpBuffer, UINT32 nSize);
二、入口函数调用
1、添加头文件
#include"过保护.h"
2、通过控制码获取
#define irp读被保护数据 CTL_CODE(FILE_DEVICE_UNKNOWN, 0x806, METHOD_BUFFERED,FILE_ANY_ACCESS) void IRP读取被保护数据(PIRP IRP指针) { PIO_STACK_LOCATION irpStack = IoGetCurrentIrpStackLocation(IRP指针); //获取应用层传来的参数 UINT64* 缓冲区 = (UINT64*)(IRP指针->AssociatedIrp.SystemBuffer); if (缓冲区) { UINT32 PID = (UINT32)(UINT64)缓冲区[0]; PVOID pBase = (PVOID)(UINT64)缓冲区[1]; UINT32 nSize = (UINT32)(UINT64)缓冲区[3]; UINT32 ReadSize = ReadProcessMemoryForPid(PID, pBase, 缓冲区, nSize); IRP指针->IoStatus.Status = STATUS_SUCCESS; IRP指针->IoStatus.Information = nSize; IoCompleteRequest(IRP指针, IO_NO_INCREMENT); } irpStack; } else if (控制码==irp读被保护数据) { IRP读取被保护数据(IRP指针); return STATUS_SUCCESS; }
三、应用层调用
1、添加一个编辑框和按钮读取被保护数据
2、控制码复制过来
#define irp读被保护数据 CTL_CODE(FILE_DEVICE_UNKNOWN, 0x806, METHOD_BUFFERED,FILE_ANY_ACCESS)
3、按钮代码实现
void CtestDlg::OnBnClickedButtonDqbbhsj() { UpdateData(true); DWORD 返回字节数 = 0; DWORD 临时数据 = 0; UINT_PTR 地址 = 0x400000; UINT64 输入缓存区[10] = { mbpid,地址,0,4 }; DeviceIoControl( 设备句柄, irp读被保护数据, &输入缓存区, 8*4, &临时数据, sizeof(临时数据), &返回字节数, NULL ); char 缓存[256]; sprintf_s(缓存, "读取被保护值%X", 临时数据); ::MessageBoxA(0, 缓存, "读被保护测试", MB_OK); }
四、生成相应的程序,然后进行读写测试
