C++强制读写进程内存 R0与R3法

brahmana

某些时候我们需要读写别的进程的内存，某些时候别的进程已经对自己的内存读写做了保护，这里说四个思路（两个R3的，两个R0的）。


方案1（R3）：直接修改别人内存

最基本的也最简单的就是直接通过WriteProcessMemory 和 ReadProcessMemory对没有进行保护的程序的内存进行修改，一些单机游戏辅助什么的可能会有这种简单方式修改其他进程内存。


方案2（R3）: 注入

     通过注入的方式想办法进入宿主进程，然后修改他的内存。这里的话姿势就很多了，远程代码注入，APC注入，输入法注入，LSP注入等等。最常用最省事的估计就是输入法注入，最不常用，但是效果最好的我个人感觉是LSP注入，这个之前用过一段时间。甚至直接可以在R3层做网络劫持了。不过LSP坑多，用者慎重。


方案3（R0）:KeStackAttachProcess

    在驱动里，直接附加到宿主进程内存，然后进行内存修改，强杀进程的时候也经常用这个姿势Attack进去，然后 进程虚拟地址空间擦除 直接干进程。

1. void KWriteProcessMemory(IN PEPROCESS Process, IN PVOID Address, IN UINT32 Length, IN PVOID Buffer)
   
2. {
   
3. PKAPC_STATE pKs = (PKAPC_STATE)ExAllocatePool(NonPagedPool, sizeof(PKAPC_STATE));
   
4. KeStackAttachProcess(Process, pKs);//Attach进程虚拟空间
   
5. if (MmIsAddressValid(Address))
   
6. {
   
7. RtlCopyMemory(Address, Buffer, Length);
   
8. DbgPrint("[x64Drv] Date wrote.");
   
9. }
   
10. KeUnstackDetachProcess(pKs);
    
11. }

复制代码

方案4（R0）：加强版方案3（也叫CR3大法，因为是操作了CR3）

  可以理解成是反汇编了方案3的代码后，直接自己实现了方案3。不过这个设计到不同系统的结构不同问题，用的时候注意确定每个系统的相关数据结构偏移：


以下代码是Win7 64

1. #define DIRECTORY_TABLE_BASE    0x028
   
2. 
   
3. UINT32 idTarget=0;
   
4. PEPROCESS epTarget=NULL;
   
5. UINT32 idGame=0;
   
6. PEPROCESS epGame=NULL;
   
7. UINT32 rw_len=0;
   
8. UINT64 base_addr=0;
   
9. 
   
10. ULONG64 Get64bitValue(PVOID p)
    
11. {
    
12. if(MmIsAddressValid(p)==FALSE)
    
13. return 0;
    
14. return *(PULONG64)p;
    
15. }
    
16. 
    
17. ULONG32 Get32bitValue(PVOID p)
    
18. {
    
19. if(MmIsAddressValid(p)==FALSE)
    
20. return 0;
    
21. return *(PULONG32)p;
    
22. }
    
23. 
    
24. void KReadProcessMemory(IN PEPROCESS Process, IN PVOID Address, IN UINT32 Length, OUT PVOID Buffer)
    
25. {
    
26. ULONG64 pDTB=0,OldCr3=0,vAddr=0;
    
27. //Get DTB
    
28. pDTB=Get64bitValue((UCHAR*)Process + DIRECTORY_TABLE_BASE);
    
29. if(pDTB==0)
    
30. {
    
31. DbgPrint("[x64Drv] Can not get PDT");
    
32. return;
    
33. }
    
34. //Record old cr3 and set new cr3
    
35. _disable();
    
36. OldCr3=__readcr3();
    
37. __writecr3(pDTB);
    
38. _enable();
    
39. //Read process memory
    
40. if(MmIsAddressValid(Address))
    
41. {
    
42. RtlCopyMemory(Buffer,Address,Length);
    
43. DbgPrint("[x64Drv] Date read: %ld", *(PDWORD)Buffer);
    
44. }
    
45. //Restore old cr3
    
46. _disable();
    
47. __writecr3(OldCr3);
    
48. _enable();
    
49. }
    
50. 
    
51. void KWriteProcessMemory(IN PEPROCESS Process, IN PVOID Address, IN UINT32 Length, IN PVOID Buffer)
    
52. {
    
53. ULONG64 pDTB=0,OldCr3=0,vAddr=0;
    
54. //Get DTB
    
55. pDTB=Get64bitValue((UCHAR*)Process + DIRECTORY_TABLE_BASE);
    
56. if(pDTB==0)
    
57. {
    
58. DbgPrint("[x64Drv] Can not get PDT");
    
59. return;
    
60. }
    
61. //Record old cr3 and set new cr3
    
62. _disable();
    
63. OldCr3=__readcr3();
    
64. __writecr3(pDTB);
    
65. _enable();
    
66. //Read process memory
    
67. if(MmIsAddressValid(Address))
    
68. {
    
69. RtlCopyMemory(Address,Buffer,Length);
    
70. DbgPrint("[x64Drv] Date wrote.");
    
71. }
    
72. //Restore old cr3
    
73. _disable();
    
74. __writecr3(OldCr3);
    
75. _enable();
    
76. }

复制代码

124713549

感谢楼主无私的分享与奉献

sb2222

RE: C++强制读写进程内存 R0与R3法 [修改]