关于安全访问内存的一个想法

Tesla.Angela

刚才在逛kernelmode.info的时候，看到有人提问如何安全访问内存：http://www.kernelmode.info/forum/viewtopic.php?f=14&t=3354
Vrtule提示使用NtSystemDebugControl，但他又说XP后可能不可用。
其实这个函数在XP后应该也是可以用的，不过需要先PATCH几个变量才行。
提示见：http://www.vbasm.com/forum.php?mod=viewthread&tid=7969

Tesla.Angela

现在想想这真是多此一举。直接从CE里抄代码即可。。。{:soso_e111:}

陌路人

Tesla.Angela 发表于 2014-7-16 00:58
现在想想这真是多此一举。直接从CE里抄代码即可。。。

`````,还是没看懂啊````,  推荐的那个网站 进去,是关于一个动态开启本地调试的

alex

CE 只是用KernelStackAttach，例如：

BOOLEAN WriteProcessMemory(DWORD PID,PEPROCESS PEProcess,PVOID Address,DWORD Size, PVOID Buffer)
{
        PEPROCESS selectedprocess=PEProcess;
        KAPC_STATE apc_state;
        NTSTATUS ntStatus=STATUS_UNSUCCESSFUL;
               
        if (selectedprocess==NULL)
        {
                //DbgPrint("WriteProcessMemory:Getting PEPROCESS\n");
        if (!NT_SUCCESS(PsLookupProcessByProcessId((PVOID)(UINT_PTR)PID,&selectedprocess)))
                   return FALSE; //couldn't get the PID

                //DbgPrint("Retrieved peprocess");  
        }

        //selectedprocess now holds a valid peprocess value
        __try
        {
                UINT_PTR temp=(UINT_PTR)Address;
                                               
                RtlZeroMemory(&apc_state,sizeof(apc_state));                                       

            KeAttachProcess((PEPROCESS)selectedprocess);