找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 928|回复: 12

《WIN64驱动教程》补充[3]:关于切换CR3读写进程内存

  [复制链接]

856

主题

2630

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36108
发表于 2014-6-2 19:15:40 | 显示全部楼层 |阅读模式
作者:Tesla.Angela

自行切换CR3强制读写进程内存的方法,着实是非常爽。可惜,这个爽有个限度:只支持XP至WIN7。从WIN8开始,这个很爽的方法经常会无效,原因未知。不过,也有标准的方法“强制”读写进程内存:使用KeStackAttachProcess+RtlCopyMemory。KeStackAttachProcess后续会调用KiAttachProcess,在WIN32下很有可能被HOOK。对抗HOOK KiAttachProcess的方法也不难:1.通过KeStackAttachProcess和KeAttachProcess定位KiAttachProcess;然后内核解析PE获得原始机器码并恢复。2.也可以通过重载内核绕过全部钩子。
游客,如果您要查看本帖隐藏内容请回复

0

主题

37

回帖

0

精华

铜牌会员

积分
61
发表于 2024-1-1 09:07:57 | 显示全部楼层
学习了

0

主题

41

回帖

0

精华

铜牌会员

积分
116
发表于 2024-1-3 21:32:33 | 显示全部楼层
学习了

0

主题

11

回帖

0

精华

铜牌会员

积分
95
发表于 2024-1-3 22:18:21 | 显示全部楼层
学习了

8

主题

68

回帖

0

精华

钻石会员

积分
4115
发表于 2024-1-9 15:06:03 | 显示全部楼层
再瘦10斤

0

主题

21

回帖

0

精华

铜牌会员

积分
53
发表于 2024-1-12 17:46:07 | 显示全部楼层
受教了啊

0

主题

47

回帖

0

精华

贵宾会员

积分
89
发表于 2024-1-26 13:58:44 | 显示全部楼层
2024补充学习

0

主题

29

回帖

0

精华

初来乍到

积分
39
发表于 2024-2-6 23:06:14 | 显示全部楼层
学习一下

0

主题

31

回帖

0

精华

铜牌会员

积分
41
发表于 2024-3-9 22:19:46 | 显示全部楼层
看看好东西

5

主题

116

回帖

0

精华

铜牌会员

积分
174
发表于 2024-3-12 09:58:34 | 显示全部楼层
我来学习

0

主题

45

回帖

0

精华

铜牌会员

积分
53
发表于 2024-3-12 16:24:41 | 显示全部楼层
學習一下

1

主题

118

回帖

0

精华

金牌会员

积分
856
发表于 2024-3-28 17:05:30 | 显示全部楼层
感谢楼主,学习 一下。

5

主题

156

回帖

0

精华

铜牌会员

积分
119
发表于 2024-3-28 21:21:36 | 显示全部楼层
学习了
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表