关于安全访问内存的一个想法
刚才在逛kernelmode.info的时候,看到有人提问如何安全访问内存:http://www.kernelmode.info/forum/viewtopic.php?f=14&t=3354Vrtule提示使用NtSystemDebugControl,但他又说XP后可能不可用。
其实这个函数在XP后应该也是可以用的,不过需要先PATCH几个变量才行。
提示见:http://www.vbasm.com/forum.php?mod=viewthread&tid=7969 现在想想这真是多此一举。直接从CE里抄代码即可。。。{:soso_e111:} Tesla.Angela 发表于 2014-7-16 00:58
现在想想这真是多此一举。直接从CE里抄代码即可。。。
`````,还是没看懂啊````,推荐的那个网站 进去,是关于一个动态开启本地调试的 CE 只是用KernelStackAttach,例如:
BOOLEAN WriteProcessMemory(DWORD PID,PEPROCESS PEProcess,PVOID Address,DWORD Size, PVOID Buffer)
{
PEPROCESS selectedprocess=PEProcess;
KAPC_STATE apc_state;
NTSTATUS ntStatus=STATUS_UNSUCCESSFUL;
if (selectedprocess==NULL)
{
//DbgPrint("WriteProcessMemory:Getting PEPROCESS\n");
if (!NT_SUCCESS(PsLookupProcessByProcessId((PVOID)(UINT_PTR)PID,&selectedprocess)))
return FALSE; //couldn't get the PID
//DbgPrint("Retrieved peprocess");
}
//selectedprocess now holds a valid peprocess value
__try
{
UINT_PTR temp=(UINT_PTR)Address;
RtlZeroMemory(&apc_state,sizeof(apc_state));
KeAttachProcess((PEPROCESS)selectedprocess);
页:
[1]