《WIN64驱动教程》补充[3]：关于切换CR3读写进程内存

Tesla.Angela · 发表于 2014-6-2 19:15:40

作者：Tesla.Angela

自行切换CR3强制读写进程内存的方法，着实是非常爽。可惜，这个爽有个限度：只支持XP至WIN7。从WIN8开始，这个很爽的方法经常会无效，原因未知。不过，也有标准的方法“强制”读写进程内存：使用KeStackAttachProcess+RtlCopyMemory。KeStackAttachProcess后续会调用KiAttachProcess，在WIN32下很有可能被HOOK。对抗HOOK KiAttachProcess的方法也不难：1.通过KeStackAttachProcess和KeAttachProcess定位KiAttachProcess；然后内核解析PE获得原始机器码并恢复。2.也可以通过重载内核绕过全部钩子。

游客，如果您要查看本帖隐藏内容请回复

5ak · 发表于 2024-1-1 09:07:57

学习了

sam7894604 · 发表于 2024-1-3 21:32:33

学习了

zf0815zj · 发表于 2024-1-3 22:18:21

学习了

xtfpg · 发表于 2024-1-9 15:06:03

再瘦10斤

ruin1990 · 发表于 2024-1-12 17:46:07

受教了啊

baggiowangyu · 发表于 2024-1-26 13:58:44

2024补充学习

sound · 发表于 2024-2-6 23:06:14

学习一下

iop02008 · 发表于 2024-3-9 22:19:46

看看好东西

376408384 · 发表于 2024-3-12 09:58:34

我来学习

帐号		自动登录	找回密码
密码			加入我们