主頁 > 後端開發 > 驅動開發:內核讀寫記憶體浮點數

驅動開發:內核讀寫記憶體浮點數

2023-05-31 07:30:20 後端開發

如前所述,在前幾章內容中筆者簡單介紹了記憶體讀寫的基本實作方式,這其中包括了CR3切換讀寫,MDL映射讀寫,記憶體拷貝讀寫,本章將在如前所述的讀寫函式進一步封裝,并以此來實作驅動讀寫記憶體浮點數的目的,記憶體浮點數的讀寫依賴于讀寫記憶體位元組的實作,因為浮點數本質上也可以看作是一個位元組集,對于單精度浮點數來說這個位元組集串列是4位元組,而對于雙精度浮點數,此串列長度則為8位元組,

如下代碼片段摘取自本人的LyMemory驅動讀寫專案,函式ReadProcessMemoryByte用于讀取記憶體特定位元組型別的資料,函式WriteProcessMemoryByte則用于寫入位元組型別資料,完整代碼如下所示;

這段代碼中依然采用了《驅動開發:內核MDL讀寫行程記憶體》中所示的讀寫方法,通過MDL附加到行程并RtlCopyMemory拷貝資料,至于如何讀寫位元組集只需要回圈讀寫即可實作;

// 署名權
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]

#include <ntifs.h>
#include <windef.h>

// 讀取記憶體位元組
BYTE ReadProcessMemoryByte(HANDLE Pid, ULONG64 Address, DWORD Size)
{
	KAPC_STATE state = { 0 };
	BYTE OpCode;

	PEPROCESS Process;
	PsLookupProcessByProcessId((HANDLE)Pid, &Process);

	// 系結行程物件,進入行程地址空間
	KeStackAttachProcess(Process, &state);

	__try
	{
		// ProbeForRead 檢查記憶體地址是否有效, RtlCopyMemory 讀取記憶體
		ProbeForRead((HANDLE)Address, Size, 1);
		RtlCopyMemory(&OpCode, (BYTE *)Address, Size);
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		// 呼叫KeUnstackDetachProcess解除與行程的系結,退出行程地址空間
		KeUnstackDetachProcess(&state);

		// 讓內核物件參考數減1
		ObDereferenceObject(Process);
		// DbgPrint("讀取行程 %d 的地址 %x 出錯", ptr->Pid, ptr->Address);
		return FALSE;
	}

	// 解除系結
	KeUnstackDetachProcess(&state);
	// 讓內核物件參考數減1
	ObDereferenceObject(Process);
	DbgPrint("[內核讀位元組] # 讀取地址: 0x%x 讀取資料: %x \n", Address, OpCode);

	return OpCode;
}

// 寫入記憶體位元組
BOOLEAN WriteProcessMemoryByte(HANDLE Pid, ULONG64 Address, DWORD Size, BYTE *OpCode)
{
	KAPC_STATE state = { 0 };

	PEPROCESS Process;
	PsLookupProcessByProcessId((HANDLE)Pid, &Process);

	// 系結行程,進入行程的地址空間
	KeStackAttachProcess(Process, &state);

	// 創建MDL地址描述符
	PMDL mdl = IoAllocateMdl((HANDLE)Address, Size, 0, 0, NULL);
	if (mdl == NULL)
	{
		return FALSE;
	}

	//使MDL與驅動進行系結
	MmBuildMdlForNonPagedPool(mdl);
	BYTE* ChangeData = https://www.cnblogs.com/LyShark/p/NULL;

	__try
	{
		// 將MDL映射到我們驅動里的一個變數,對該變數讀寫就是對MDL對應的物理記憶體讀寫
		ChangeData = (BYTE *)MmMapLockedPages(mdl, KernelMode);
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		// DbgPrint("映射記憶體失敗");
		IoFreeMdl(mdl);

		// 解除映射
		KeUnstackDetachProcess(&state);
		// 讓內核物件參考數減1
		ObDereferenceObject(Process);
		return FALSE;
	}

	// 寫入資料到指定位置
	RtlCopyMemory(ChangeData, OpCode, Size);
	DbgPrint("[內核寫位元組] # 寫入地址: 0x%x 寫入資料: %x \n", Address, OpCode);

	// 讓內核物件參考數減1
	ObDereferenceObject(Process);
	MmUnmapLockedPages(ChangeData, mdl);
	KeUnstackDetachProcess(&state);
	return TRUE;
}

實作讀取記憶體位元組集并將讀入的資料放入到LySharkReadByte位元組串列中,這段代碼如下所示,通過呼叫ReadProcessMemoryByte都記憶體位元組并每次0x401000 + i在基址上面增加變數i以此來實作位元組集讀取;

// 驅動入口地址
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("Hello LyShark \n");

	// 讀記憶體位元組集
	BYTE LySharkReadByte[8] = { 0 };

	for (size_t i = 0; i < 8; i++)
	{
		LySharkReadByte[i] = ReadProcessMemoryByte(4884, 0x401000 + i, 1);
	}

	// 輸出讀取的記憶體位元組
	for (size_t i = 0; i < 8; i++)
	{
		DbgPrint("[+] 列印資料: %x \n", LySharkReadByte[i]);
	}

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

運行如上代碼片段,你會看到如下圖所示的讀取效果;

那么如何實作寫記憶體位元組集呢?其實寫入記憶體位元組集與讀取基本類似,通過填充LySharkWriteByte位元組集串列,并呼叫WriteProcessMemoryByte函式依次回圈位元組集串列即可實作寫出位元組集的目的;

// 驅動入口地址
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("Hello LyShark \n");

	// 記憶體寫位元組集
	BYTE LySharkWriteByte[8] = { 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90, 0x90 };

	for (size_t i = 0; i < 8; i++)
	{
		BOOLEAN ref = WriteProcessMemoryByte(4884, 0x401000 + i, 1, LySharkWriteByte[i]);
		DbgPrint("[*] 寫出狀態: %d \n", ref);
	}

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

運行如上代碼片段,即可將LySharkWriteByte[8]中的位元組集寫出到記憶體0x401000 + i的位置處,輸出效果圖如下所示;

接下來不如本章的重點內容,首先如何實作讀記憶體單精度與雙精度浮點數的目的,實作原理是通過讀取BYTE型別的前4或者8位元組的資料,并通過*((FLOAT*)buffpyr)將其轉換為浮點數,通過此方法即可實作位元組集到浮點數的轉換,而決定是單精度還是雙精度則只是一個位元組集長度問題,這段讀寫代碼實作原理如下所示;

// 讀記憶體單精度浮點數
FLOAT ReadProcessFloat(DWORD Pid, ULONG64 Address)
{
	BYTE buff[4] = { 0 };
	BYTE* buffpyr = buff;

	for (DWORD x = 0; x < 4; x++)
	{
		BYTE item = ReadProcessMemoryByte(Pid, Address + x, 1);
		buff[x] = item;
	}

	return *((FLOAT*)buffpyr);
}

// 讀記憶體雙精度浮點數
DOUBLE ReadProcessMemoryDouble(DWORD Pid, ULONG64 Address)
{
	BYTE buff[8] = { 0 };
	BYTE* buffpyr = buff;

	for (DWORD x = 0; x < 8; x++)
	{
		BYTE item = ReadProcessMemoryByte(Pid, Address + x, 1);
		buff[x] = item;
	}

	return *((DOUBLE*)buffpyr);
}

// 驅動卸載例程
VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint("Uninstall Driver \n");
}

// 驅動入口地址
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("Hello LyShark \n");

	// 讀取單精度
	FLOAT fl = ReadProcessFloat(4884, 0x401000);
	DbgPrint("[讀取單精度] = %d \n", fl);

	// 讀取雙精度浮點數
	DOUBLE fl = ReadProcessMemoryDouble(4884, 0x401000);
	DbgPrint("[讀取雙精度] = %d \n", fl);

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

如上代碼就是實作浮點數讀寫的關鍵所在,這段代碼中的浮點數傳值如果在內核中會提示無法決議的外部符號 _fltused此處只用于演示核心原理,如果想要實作不報錯,該代碼中的傳值操作應在應用層進行,而傳入引數也應改為位元組型別即可,

同理,對于寫記憶體浮點數而言依舊如此,只是在接收到用戶層傳遞引數后應對其dtoc雙精度浮點數轉為CHAR或者ftoc單精度浮點數轉為CHAR型別,再寫出即可;

// 將DOUBLE適配為合適的Char型別
VOID dtoc(double dvalue, unsigned char* arr)
{
	unsigned char* pf;
	unsigned char* px;
	unsigned char i;

	// unsigned char型指標取得浮點數的首地址
	pf = (unsigned char*)&dvalue;

	// 字符陣列arr準備存盤浮點數的四個位元組,px指標指向位元組陣列arr
	px = arr;

	for (i = 0; i < 8; i++)
	{
		// 使用unsigned char型指標從低地址一個位元組一個位元組取出
		*(px + i) = *(pf + i);
	}
}

// 將Float適配為合適的Char型別
VOID ftoc(float fvalue, unsigned char* arr)
{
	unsigned char* pf;
	unsigned char* px;
	unsigned char i;

	// unsigned char型指標取得浮點數的首地址
	pf = (unsigned char*)&fvalue;

	// 字符陣列arr準備存盤浮點數的四個位元組,px指標指向位元組陣列arr
	px = arr;

	for (i = 0; i < 4; i++)
	{
		// 使用unsigned char型指標從低地址一個位元組一個位元組取出
		*(px + i) = *(pf + i);
	}
}

// 寫記憶體單精度浮點數
BOOL WriteProcessMemoryFloat(DWORD Pid, ULONG64 Address, FLOAT write)
{
	BYTE buff[4] = { 0 };
	ftoc(write, buff);

	for (DWORD x = 0; x < 4; x++)
	{
		BYTE item = WriteProcessMemoryByte(Pid, Address + x, buff[x], 1);
		buff[x] = item;
	}

	return TRUE;
}

// 寫記憶體雙精度浮點數
BOOL WriteProcessMemoryDouble(DWORD Pid, ULONG64 Address, DOUBLE write)
{
	BYTE buff[8] = { 0 };
	dtoc(write, buff);

	for (DWORD x = 0; x < 8; x++)
	{
		BYTE item = WriteProcessMemoryByte(Pid, Address + x, buff[x], 1);
		buff[x] = item;
	}

	return TRUE;
}

// 驅動卸載例程
VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint("Uninstall Driver \n");
}

// 驅動入口地址
NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("Hello LyShark \n");

	// 寫單精度
	FLOAT LySharkFloat1 = 12.5;
	INT fl = WriteProcessMemoryFloat(4884, 0x401000, LySharkFloat1);
	DbgPrint("[寫單精度] = %d \n", fl);

	// 讀取雙精度浮點數
	DOUBLE LySharkFloat2 = 12.5;
	INT d1 = WriteProcessMemoryDouble(4884, 0x401000, LySharkFloat2);
	DbgPrint("[寫雙精度] = %d \n", d1);

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/553798.html

標籤:C

上一篇:c++11: all_of 、 any_of 和 none_of

下一篇:返回列表

標籤雲
其他(159976) Python(38185) JavaScript(25464) Java(18151) C(15234) 區塊鏈(8268) C#(7972) AI(7469) 爪哇(7425) MySQL(7217) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5873) 数组(5741) R(5409) Linux(5344) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4579) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2434) ASP.NET(2403) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) .NET技术(1977) 功能(1967) Web開發(1951) HtmlCss(1950) C++(1927) python-3.x(1918) 弹簧靴(1913) xml(1889) PostgreSQL(1878) .NETCore(1862) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 【C++】Microsoft C++、C 和匯編程式檔案

    ......

    uj5u.com 2020-09-10 00:57:23 more
  • 例外宣告

    相比于斷言適用于排除邏輯上不可能存在的狀態,例外通常是用于邏輯上可能發生的錯誤。 例外宣告 Item 1:當函式不可能拋出例外或不能接受拋出例外時,使用noexcept 理由 如果不打算拋出例外的話,程式就會認為無法處理這種錯誤,并且應當盡早終止,如此可以有效地阻止例外的傳播與擴散。 示例 //不可 ......

    uj5u.com 2020-09-10 00:57:27 more
  • Codeforces 1400E Clear the Multiset(貪心 + 分治)

    鏈接:https://codeforces.com/problemset/problem/1400/E 來源:Codeforces 思路:給你一個陣列,現在你可以進行兩種操作,操作1:將一段沒有 0 的區間進行減一的操作,操作2:將 i 位置上的元素歸零。最終問:將這個陣列的全部元素歸零后操作的最少 ......

    uj5u.com 2020-09-10 00:57:30 more
  • UVA11610 【Reverse Prime】

    本人看到此題沒有翻譯,就附帶了一個自己的翻譯版本 思考 這一題,它的第一個要求是找出所有 $7$ 位反向質數及其質因數的個數。 我們應該需要質數篩篩選1~$10^{7}$的所有數,這里就不慢慢介紹了。但是,重讀題,我們突然發現反向質數都是 $7$ 位,而將它反過來后的數字卻是 $6$ 位數,這就說明 ......

    uj5u.com 2020-09-10 00:57:36 more
  • 統計區間素數數量

    1 #pragma GCC optimize(2) 2 #include <bits/stdc++.h> 3 using namespace std; 4 bool isprime[1000000010]; 5 vector<int> prime; 6 inline int getlist(int ......

    uj5u.com 2020-09-10 00:57:47 more
  • C/C++編程筆記:C++中的 const 變數詳解,教你正確認識const用法

    1、C中的const 1、區域const變數存放在堆疊區中,會分配記憶體(也就是說可以通過地址間接修改變數的值)。測驗代碼如下: 運行結果: 2、全域const變數存放在只讀資料段(不能通過地址修改,會發生寫入錯誤), 默認為外部聯編,可以給其他源檔案使用(需要用extern關鍵字修飾) 運行結果: ......

    uj5u.com 2020-09-10 00:58:04 more
  • 【C++犯錯記錄】VS2019 MFC添加資源不懂如何修改資源宏ID

    1. 首先在資源視圖中,添加資源 2. 點擊新添加的資源,復制自動生成的ID 3. 在解決方案資源管理器中找到Resource.h檔案,編輯,使用整個專案搜索和替換的方式快速替換 宏宣告 4. Ctrl+Shift+F 全域搜索,點擊查找全部,然后逐個替換 5. 為什么使用搜索替換而不使用屬性視窗直 ......

    uj5u.com 2020-09-10 00:59:11 more
  • 【C++犯錯記錄】VS2019 MFC不懂的批量添加資源

    1. 打開資源頭檔案Resource.h,在其中預先定義好宏 ID(不清楚其實ID值應該設定多少,可以先新建一個相同的資源項,再在這個資源的ID值的基礎上遞增即可) 2. 在資源視圖中選中專案資源,按F7編輯資源檔案,按 ID 型別 相對路徑的形式添加 資源。(別忘了先把檔案拷貝到專案中的res檔案 ......

    uj5u.com 2020-09-10 01:00:19 more
  • C/C++編程筆記:關于C++的參考型別,專供新手入門使用

    今天要講的是C++中我最喜歡的一個用法——參考,也叫別名。 參考就是給一個變數名取一個變數名,方便我們間接地使用這個變數。我們可以給一個變數創建N個參考,這N + 1個變數共享了同一塊記憶體區域。(參考型別的變數會占用記憶體空間,占用的記憶體空間的大小和指標型別的大小是相同的。雖然參考是一個物件的別名,但 ......

    uj5u.com 2020-09-10 01:00:22 more
  • 【C/C++編程筆記】從頭開始學習C ++:初學者完整指南

    眾所周知,C ++的學習曲線陡峭,但是花時間學習這種語言將為您的職業帶來奇跡,并使您與其他開發人員區分開。您會更輕松地學習新語言,形成真正的解決問題的技能,并在編程的基礎上打下堅實的基礎。 C ++將幫助您養成良好的編程習慣(即清晰一致的編碼風格,在撰寫代碼時注釋代碼,并限制類內部的可見性),并且由 ......

    uj5u.com 2020-09-10 01:00:41 more
最新发布
  • 驅動開發:內核讀寫記憶體浮點數

    如前所述,在前幾章內容中筆者簡單介紹了`記憶體讀寫`的基本實作方式,這其中包括了`CR3切換`讀寫,`MDL映射`讀寫,`記憶體拷貝`讀寫,本章將在如前所述的讀寫函式進一步封裝,并以此來實作驅動讀寫記憶體浮點數的目的。記憶體`浮點數`的讀寫依賴于`讀寫記憶體位元組`的實作,因為浮點數本質上也可以看作是一個位元組集... ......

    uj5u.com 2023-05-31 07:30:20 more
  • c++11: all_of 、 any_of 和 none_of

    242. 有效的字母異位詞 ```cpp class Solution { public: bool isAnagram(string s, string t) { if(s.size()!=t.size()) return false; int ans[26]={0}; for(auto& ch: ......

    uj5u.com 2023-05-31 07:30:06 more
  • Groovy 基于Groovy實作MD5加密

    groovy 3.0.7 ## 代碼實作 ### 實作方式1 ```groovy import java.security.MessageDigest; public class MD5Utils { public final static String MD5(String s) { char[] ......

    uj5u.com 2023-05-30 07:45:21 more
  • 【QCustomPlot】性能提升之修改原始碼(版本 V2.x.x)

    QCustomPlot 是開源專案,原始碼撰寫十分規范,想要理解它的可視化思路不算特別困難。我在這篇隨筆中總結一下常用的原始碼修改技巧,下面的每一個技巧都是獨立的,不同技巧中添加的代碼無任何依賴關系,相互之間也不會引發任何沖突,不會影響 QCustomPlot 原生的介面。示例中使用的 QCustomP... ......

    uj5u.com 2023-05-30 07:44:27 more
  • HashMap底層原理

    HashMap是Java中常用的資料結構之一,它提供了高效的鍵值對存盤和檢索功能。下面是HashMap底層的詳細原理介紹: 1. 資料結構:HashMap底層使用陣列和鏈表(或紅黑樹)的組合實作。它通過哈希演算法將鍵轉換為陣列索引,并將值存盤在對應索引位置上。 2. 哈希演算法:當我們向HashMap中 ......

    uj5u.com 2023-05-30 07:44:19 more
  • 常用的排序演算法總結

    # 常用的排序演算法 ## 一、冒泡排序 冒泡排序(Bubble Sort),是一種較簡單的排序演算法。 它重復地走訪過要排序的元素列,依次比較兩個相鄰的元素,如果順序(如從大到小、首字母從Z到A)錯誤就把他們交換過來。走訪元素的作業是重復地進行直到沒有相鄰元素需要交換,也就是說該元素列已經排序完成。 ......

    uj5u.com 2023-05-30 07:44:15 more
  • Python連接es筆記二之查詢方式匯總

    > 本文首發于公眾號:Hunter后端 > 原文鏈接:[Python連接es筆記二之查詢方式匯總](https://mp.weixin.qq.com/s/0Yn5c-U9pBWrSC5HrCgWog) 上一節除了介紹使用 Python 連接 es,還有最簡單的 query() 方法,這一節介紹一下幾 ......

    uj5u.com 2023-05-30 07:44:09 more
  • 【python基礎】基本資料型別-數字型別

    Python3 支持int(整型資料)、float(浮點型資料)、bool(布爾型別) # 1.int(整型資料) 在Python 3里,**只有一種整數型別 int,表示為長整型**。像大多數語言一樣,數值型別的賦值和計算都是很直觀的。 ## 1.1數值運算 撰寫程式如下所示 ![image](h ......

    uj5u.com 2023-05-30 07:43:56 more
  • Redis+分布式+秒殺

    ## 聊一下MySQL 關于mysql關系型資料庫的一些分析: 1、從性能上:如果我們碰到需要執行耗時特別久,并且執行結果不是很頻繁變動的SQL陳述句,我們就沒有必要每次都去查詢資料庫,因為每次操作資料庫都很耗時。 2、從并發上:在大并發的情況下(比如618秒殺活動,你敢讓千萬級的請求直接打到資料庫上 ......

    uj5u.com 2023-05-30 07:43:44 more
  • < Python全景系列-8 > Python超薄感知,超強保護:例外處理的絕佳實

    歡迎來到系列第八篇,例外處理的深入探討。本文將分五部分展開。首先,我們將學習Python例外處理的基礎知識,理解`try/except`陳述句的用法。然后,我們將了解Python的常見例外型別并通過實體理解它們的作用。第三部分,我們將更深入地決議`try-except`塊,理解其作業原理及更加復雜的用... ......

    uj5u.com 2023-05-30 07:43:38 more

Copyright © 2010-2020 有解無憂