AI 助理
备案控制台
开发者社区 云计算 文章 正文

驱动保护 -- 读取被保护的数据

2024-01-18 62
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 驱动保护 -- 读取被保护的数据

一、新建一个过保护头文件和源文件

1、源文件内容

#include <ntifs.h>
#include "过保护.h"
BOOLEAN KReadProcessMemory(IN PEPROCESS 目标进程, IN PVOID 目标地址, IN UINT32 目标长度, IN OUT PVOID 返回数据)
{
  KAPC_STATE apc_state;
  RtlZeroMemory(&apc_state, sizeof(KAPC_STATE));
  //申请内核内存,在所有空间都可使用
  PVOID 内核内存 = ExAllocatePool(NonPagedPool, 目标长度);
  DbgPrint("nxyn:目标地址=%p  返回数据=%p", 目标地址, 返回数据);
  //进入目标进程内存空间,不是通过openprocess获取进程,而是通过一个结构体指针获取进程
  KeStackAttachProcess((PVOID)目标进程, &apc_state);
  //判断目标地址是否可以访问
  BOOLEAN 是否能访问 = MmIsAddressValid(目标地址);
  if (是否能访问)
  {
    //读取内容
    RtlCopyMemory(内核内存, 目标地址, 目标长度);
  }
  else
  {
    KdPrint(("nxyn:不能读取"));
  }
  //将数据分离,就可以随意访问数据
  KeUnstackDetachProcess(&apc_state);
  //将数据通过内核内存返回
  RtlCopyMemory(返回数据, 内核内存, 目标长度);
  ExFreePool(内核内存);
  return 是否能访问;
}
int ReadProcessMemoryForPid(UINT32 dwPid, PVOID pBase, PVOID lpBuffer, UINT32 nSize)
{
  //根据pid获取PEPROCESS
  PEPROCESS Seleted_pEPROCESS = NULL;
  if (PsLookupProcessByProcessId((PVOID)(UINT_PTR)(dwPid), &Seleted_pEPROCESS) == STATUS_SUCCESS)
  {
    BOOLEAN br = KReadProcessMemory(Seleted_pEPROCESS, (PVOID)pBase, nSize, lpBuffer);
    ObDereferenceObject(Seleted_pEPROCESS);
    if (br)
    {
      return nSize;
    }
  }
  else
  {
    KdPrint(("nxyn:错误"));
  }
  return STATUS_SUCCESS;
}

2、头文件内容

#pragma once
int ReadProcessMemoryForPid(UINT32 dwPid, PVOID pBase, PVOID lpBuffer, UINT32 nSize);

二、入口函数调用

1、添加头文件

#include"过保护.h"

2、通过控制码获取

#define irp读被保护数据   CTL_CODE(FILE_DEVICE_UNKNOWN, 0x806,     METHOD_BUFFERED,FILE_ANY_ACCESS)
void IRP读取被保护数据(PIRP IRP指针)
{
  PIO_STACK_LOCATION irpStack = IoGetCurrentIrpStackLocation(IRP指针); //获取应用层传来的参数
  UINT64* 缓冲区 = (UINT64*)(IRP指针->AssociatedIrp.SystemBuffer);
  if (缓冲区)
  {
    UINT32 PID = (UINT32)(UINT64)缓冲区[0]; 
    PVOID pBase = (PVOID)(UINT64)缓冲区[1]; 
    UINT32 nSize = (UINT32)(UINT64)缓冲区[3]; 
    UINT32 ReadSize = ReadProcessMemoryForPid(PID, pBase, 缓冲区, nSize);
    IRP指针->IoStatus.Status = STATUS_SUCCESS;
    IRP指针->IoStatus.Information = nSize;
    IoCompleteRequest(IRP指针, IO_NO_INCREMENT);
  }
  irpStack;
}
else if (控制码==irp读被保护数据)
    {
      IRP读取被保护数据(IRP指针);
      return STATUS_SUCCESS;
    }

三、应用层调用

1、添加一个编辑框和按钮读取被保护数据

2、控制码复制过来

#define irp读被保护数据   CTL_CODE(FILE_DEVICE_UNKNOWN, 0x806,     METHOD_BUFFERED,FILE_ANY_ACCESS)

3、按钮代码实现

void CtestDlg::OnBnClickedButtonDqbbhsj()
{
   UpdateData(true);
  DWORD 返回字节数 = 0;
  DWORD 临时数据 = 0;
  UINT_PTR 地址 = 0x400000;
  UINT64 输入缓存区[10] = { mbpid,地址,0,4 };
  DeviceIoControl(
    设备句柄,
    irp读被保护数据,
    &输入缓存区,
    8*4,
    &临时数据,
    sizeof(临时数据),
    &返回字节数,
    NULL
  );
  char 缓存[256];
  sprintf_s(缓存, "读取被保护值%X", 临时数据);
  ::MessageBoxA(0, 缓存, "读被保护测试", MB_OK);
}

四、生成相应的程序,然后进行读写测试

sumith
目录
相关文章
LabVIEW开发
|
8月前
|
存储
LabVIEW读取修改TDMS文件中的组名和通道名group name andchannel name
LabVIEW读取修改TDMS文件中的组名和通道名group name andchannel name
LabVIEW开发
91 3
一歲抬頭
|
8月前
|
存储 Linux Android开发
Rockchip u-boot阶段命令行和代码方式读取u盘内容并解析
Rockchip u-boot阶段命令行和代码方式读取u盘内容并解析
一歲抬頭
960 2
sumith
|
8月前
驱动保护 -- 读取被保护的数据(第二种方法)
驱动保护 -- 读取被保护的数据(第二种方法)
sumith
54 0
sumith
|
8月前
驱动保护 -- 向被保护的内存写数据
驱动保护 -- 向被保护的内存写数据
sumith
60 0
sumith
|
8月前
驱动保护 -- 禁止读写操作
驱动保护 -- 禁止读写操作
sumith
49 0
sumith
|
8月前
|
Go 开发工具 C++
2023驱动保护学习 -- 创建第一个驱动程序
2023驱动保护学习 -- 创建第一个驱动程序
sumith
72 0
sumith
|
8月前
2023驱动保护学习 -- 创建驱动设备及符号链接并实现删除操作
2023驱动保护学习 -- 创建驱动设备及符号链接并实现删除操作
sumith
65 0
sumith
|
8月前
2023驱动保护学习 -- 通过驱动保护进程
2023驱动保护学习 -- 通过驱动保护进程
sumith
48 0
sumith
|
8月前
|
数据库 C++
2023驱动保护学习 -- 通过代码实现驱动加载
2023驱动保护学习 -- 通过代码实现驱动加载
sumith
48 0
sumith
驱动保护 -- 读取被保护的数据
驱动保护 -- 读取被保护的数据
sumith
56 0