内核中读写内存的方式有很多,典型的读写方式有CR3读写,MDL读写,以及今天要给大家分享的内存拷贝实现读写,拷贝读写的核心是使用MmCopyVirtualMemory这个内核API函数实现,通过调用该函数即可很容易的实现内存的拷贝读写...封装KeReadProcessMemory()内存读取。...KPROCESSOR_MODE PreviousMode, PSIZE_T ReturnSize); // 定义全局EProcess结构 PEPROCESS Global_Peprocess = NULL; // 普通Ke内存读取...ref_value); Driver->DriverUnload = UnDriver; return STATUS_SUCCESS; } 读取效果如下: 封装KeWriteProcessMemory()内存读取...DbgPrint("写入数据: %d \n", ref_value); Driver->DriverUnload = UnDriver; return STATUS_SUCCESS; } 写出内存效果
内核中读写内存的方式有很多,典型的读写方式有CR3读写,MDL读写,以及今天要给大家分享的内存拷贝实现读写,拷贝读写的核心是使用MmCopyVirtualMemory这个内核API函数实现,通过调用该函数即可很容易的实现内存的拷贝读写...封装KeReadProcessMemory()内存读取。...KPROCESSOR_MODE PreviousMode, PSIZE_T ReturnSize);// 定义全局EProcess结构PEPROCESS Global_Peprocess = NULL;// 普通Ke内存读取...ref_value);Driver->DriverUnload = UnDriver;return STATUS_SUCCESS;}读取效果如下:图片封装KeWriteProcessMemory()内存读取...ref_value, 4);DbgPrint("写入数据: %d \n", ref_value);Driver->DriverUnload = UnDriver;return STATUS_SUCCESS;}写出内存效果
一、读写锁是什么?...读写锁其实还是一种锁,是给一段临界区代码加锁,但是此加锁是在进行写操作的时候才会互斥,而在进行读的时候是可以共享的进行访问临界区的 ps:读写锁本质上是一种自旋锁 二、为什么需要读写锁?...如果每次操作都给此段代码加锁,太浪费时间了而且也很浪费资源,降低程序的效率,因为读操作不会修改数据,只是做一些查询,所以在读的时候不用给此段代码加锁,可以共享的访问,只有涉及到写的时候,互斥的访问就好了 三、读写锁的行为...读写之间是互斥的—–>读的时候写阻塞,写的时候读阻塞,而且读和写在竞争锁的时候,写会优先得到锁 四、自旋锁&挂起等待是锁?...---->读和写在同时竞争锁的时候,写会优先的得到锁 互斥---->读的时候写阻塞,写的时候读阻塞 4.相关函数 (1)pthread_rwlock_init()—->初始化函数 功能:初始化读写锁
让我们继续在《内核读写内存浮点数》的基础之上做一个简单的延申,如何实现多级偏移读写,其实很简单,读写函数无需改变,只是在读写之前提前做好计算工作,以此来得到一个内存偏移值,并通过调用内存写入原函数实现写出数据的目的...以读取偏移内存为例,如下代码同样来源于本人的LyMemory读写驱动项目,其中核心函数为WIN10_ReadDeviationIntMemory()该函数的主要作用是通过用户传入的基地址与偏移值,动态计算出当前的动态地址...的动态地址中的数据,如下图所示; 至于如何将数据写出四级偏移的基址上面,则只需要取出pbase里面的基址,并通过原函数WIN10_WriteProcessMemory直接写出数据即可,此出的原函数在《内核MDL读写进程内存...DriverUnload = UnDriver; return STATUS_SUCCESS; } 运行如上代码将在0x6566e0所在的基址上,将数据替换为100,实现效果图如下所示; 那么如何实现读写内存浮点数...ReadDeviationMemory函数,让其只计算得出偏移地址,而所需要写出的类型则根据自己的实际需求配合不同的写入函数完成,也就是将两者分离开,如下则是一段实现计算偏移的代码片段,该代码同样来自于本人的LyMemory驱动读写项目
让我们继续在《内核读写内存浮点数》的基础之上做一个简单的延申,如何实现多级偏移读写,其实很简单,读写函数无需改变,只是在读写之前提前做好计算工作,以此来得到一个内存偏移值,并通过调用内存写入原函数实现写出数据的目的...以读取偏移内存为例,如下代码同样来源于本人的LyMemory读写驱动项目,其中核心函数为WIN10_ReadDeviationIntMemory()该函数的主要作用是通过用户传入的基地址与偏移值,动态计算出当前的动态地址...的动态地址中的数据,如下图所示;图片至于如何将数据写出四级偏移的基址上面,则只需要取出pbase里面的基址,并通过原函数WIN10_WriteProcessMemory直接写出数据即可,此出的原函数在《内核MDL读写进程内存...->DriverUnload = UnDriver;return STATUS_SUCCESS;}运行如上代码将在0x6566e0所在的基址上,将数据替换为100,实现效果图如下所示;图片那么如何实现读写内存浮点数...ReadDeviationMemory函数,让其只计算得出偏移地址,而所需要写出的类型则根据自己的实际需求配合不同的写入函数完成,也就是将两者分离开,如下则是一段实现计算偏移的代码片段,该代码同样来自于本人的LyMemory驱动读写项目
在某些时候我们需要读写的进程可能存在虚拟内存保护机制,在该机制下用户的CR3以及MDL读写将直接失效,从而导致无法读取到正确的数据,本章我们将继续研究如何实现物理级别的寻址读写。...首先,驱动中的物理页读写是指在驱动中直接读写物理内存页(而不是虚拟内存页)。...这种方式的优点是它能够更快地访问内存,因为它避免了虚拟内存管理的开销,通过直接读写物理内存,驱动程序可以绕过虚拟内存的保护机制,获得对系统中内存的更高级别的访问权限。...此时用户已经获取到了物理地址,那么读写就变得很容易了,当需要读取数据时调用ReadPhysicalAddress函数,其内部直接使用MmCopyMemory对内存进行拷贝即可,而对于写入数据而言,需要通过调用...address) { return 0; } return address + PAGE_OFFSET; } 有了如上封装,那么我们就可以实现驱动读写了,首先我们实现驱动读取功能,
MDL内存读写是最常用的一种读写模式,通常需要附加到指定进程空间内然后调用内存拷贝得到对端内存中的数据,在调用结束后再将其空间释放掉,通过这种方式实现内存读写操作,此种模式的读写操作也是最推荐使用的相比于...检查内存是否可读写 4.拷贝内存空间中的数据到自己的缓冲区内 5.调用KeUnstackDetachProcess接触绑定 6.调用ObDereferenceObject使对象引用数减1 代码总结起来应该是如下样子...// 要读写的数据 }ReadMemoryStruct; // MDL读内存 BOOL MDLReadMemory(ReadMemoryStruct* data) { BOOL bRet = TRUE...3.调用ProbeForRead检查内存是否可读写 4.拷贝内存空间中的数据到自己的缓冲区内 5.调用MmMapLockedPages锁定当前内存页面(写入) 6.调用RtlCopyMemory内存拷贝完成写入...address; // 要读写的地址 DWORD size; // 读写长度 BYTE* data; // 要读写的数据
如前所述,在前几章内容中笔者简单介绍了内存读写的基本实现方式,这其中包括了CR3切换读写,MDL映射读写,内存拷贝读写,本章将在如前所述的读写函数进一步封装,并以此来实现驱动读写内存浮点数的目的。...内存浮点数的读写依赖于读写内存字节的实现,因为浮点数本质上也可以看作是一个字节集,对于单精度浮点数来说这个字节集列表是4字节,而对于双精度浮点数,此列表长度则为8字节。...如下代码片段摘取自本人的LyMemory驱动读写项目,函数ReadProcessMemoryByte用于读取内存特定字节类型的数据,函数WriteProcessMemoryByte则用于写入字节类型数据...,完整代码如下所示; 这段代码中依然采用了《驱动开发:内核MDL读写进程内存》中所示的读写方法,通过MDL附加到进程并RtlCopyMemory拷贝数据,至于如何读写字节集只需要循环读写即可实现; //...MmBuildMdlForNonPagedPool(mdl); BYTE* ChangeData = NULL; __try { // 将MDL映射到我们驱动里的一个变量,对该变量读写就是对
MDL内存读写是最常用的一种读写模式,通常需要附加到指定进程空间内然后调用内存拷贝得到对端内存中的数据,在调用结束后再将其空间释放掉,通过这种方式实现内存读写操作,此种模式的读写操作也是最推荐使用的相比于...MDL读取内存步骤1.调用PsLookupProcessByProcessId得到进程Process结构2.调用KeStackAttachProcess附加到对端进程内3.调用ProbeForRead检查内存是否可读写...address; // 要读写的地址DWORD size; // 读写长度BYTE* data; // 要读写的数据}ReadMemoryStruct...3.调用ProbeForRead检查内存是否可读写4.拷贝内存空间中的数据到自己的缓冲区内5.调用MmMapLockedPages锁定当前内存页面(写入)6.调用RtlCopyMemory内存拷贝完成写入...; // 要读写的地址DWORD size; // 读写长度BYTE* data; // 要读写的数据}ReadMemoryStruct
如前所述,在前几章内容中笔者简单介绍了内存读写的基本实现方式,这其中包括了CR3切换读写,MDL映射读写,内存拷贝读写,本章将在如前所述的读写函数进一步封装,并以此来实现驱动读写内存浮点数的目的。...内存浮点数的读写依赖于读写内存字节的实现,因为浮点数本质上也可以看作是一个字节集,对于单精度浮点数来说这个字节集列表是4字节,而对于双精度浮点数,此列表长度则为8字节。...如下代码片段摘取自本人的LyMemory驱动读写项目,函数ReadProcessMemoryByte用于读取内存特定字节类型的数据,函数WriteProcessMemoryByte则用于写入字节类型数据...,完整代码如下所示;这段代码中依然采用了《驱动开发:内核MDL读写进程内存》中所示的读写方法,通过MDL附加到进程并RtlCopyMemory拷贝数据,至于如何读写字节集只需要循环读写即可实现;// 署名权...MmBuildMdlForNonPagedPool(mdl);BYTE* ChangeData = NULL;__try{// 将MDL映射到我们驱动里的一个变量,对该变量读写就是对MDL对应的物理内存读写
在某些时候我们需要读写的进程可能存在虚拟内存保护机制,在该机制下用户的CR3以及MDL读写将直接失效,从而导致无法读取到正确的数据,本章我们将继续研究如何实现物理级别的寻址读写。...首先,驱动中的物理页读写是指在驱动中直接读写物理内存页(而不是虚拟内存页)。...这种方式的优点是它能够更快地访问内存,因为它避免了虚拟内存管理的开销,通过直接读写物理内存,驱动程序可以绕过虚拟内存的保护机制,获得对系统中内存的更高级别的访问权限。...此时用户已经获取到了物理地址,那么读写就变得很容易了,当需要读取数据时调用ReadPhysicalAddress函数,其内部直接使用MmCopyMemory对内存进行拷贝即可,而对于写入数据而言,需要通过调用...address) { return 0; } return address + PAGE_OFFSET;}有了如上封装,那么我们就可以实现驱动读写了,首先我们实现驱动读取功能,如下这段代码是
MDL内存读写是一种通过创建MDL结构体来实现跨进程内存读写的方式。在Windows操作系统中,每个进程都有自己独立的虚拟地址空间,不同进程之间的内存空间是隔离的。...因此,要在一个进程中读取或写入另一个进程的内存数据,需要先将目标进程的物理内存映射到当前进程的虚拟地址空间中,然后才能进行内存读写操作。...通过创建MDL结构体并调用系统函数将其映射到当前进程的虚拟地址空间中,即可实现跨进程内存读写的操作。相比于CR3切换方式,MDL内存读写更加稳定、安全,且不会受到寄存器的影响。...同时,使用MDL内存读写方式还可以充分利用Windows操作系统的内存管理机制,从而实现更为高效的内存读写操作。因此,MDL内存读写是Windows操作系统中最为常用和推荐的一种跨进程内存读写方式。...3.调用ProbeForRead检查内存是否可读写,在内核模式下,需要保证访问其他进程的内存是合法的,因此需要先调用 ProbeForRead 函数检查读取的内存空间是否可读写。
首先CR3是什么,CR3是一个寄存器,该寄存器内保存有页目录表物理地址(PDBR地址),其实CR3内部存放的就是页目录表的内存基地址,运用CR3切换可实现对特定进程内存地址的强制读写操作,此类读写属于有痕读写...,多数驱动保护都会将这个地址改为无效,此时CR3读写就失效了,当然如果能找到CR3的正确地址,此方式也是靠谱的一种读写机制。...在读写进程之前需要先找到进程的PEPROCESS结构,查找结构的方法也很简单,依次遍历进程并对比进程名称即可得到。...,我们读取Tutorial-i386.exe里面的0x0009EDC8这段内存,读出长度是4字节,代码如下。...CheckAddressVal(PVOID p){if (MmIsAddressValid(p) == FALSE)return 0;return *(PULONG64)p;}// CR3 寄存器读内存
MDL内存读写是一种通过创建MDL结构体来实现跨进程内存读写的方式。在Windows操作系统中,每个进程都有自己独立的虚拟地址空间,不同进程之间的内存空间是隔离的。...因此,要在一个进程中读取或写入另一个进程的内存数据,需要先将目标进程的物理内存映射到当前进程的虚拟地址空间中,然后才能进行内存读写操作。...通过创建MDL结构体并调用系统函数将其映射到当前进程的虚拟地址空间中,即可实现跨进程内存读写的操作。 相比于CR3切换方式,MDL内存读写更加稳定、安全,且不会受到寄存器的影响。...同时,使用MDL内存读写方式还可以充分利用Windows操作系统的内存管理机制,从而实现更为高效的内存读写操作。因此,MDL内存读写是Windows操作系统中最为常用和推荐的一种跨进程内存读写方式。...3.调用ProbeForRead检查内存是否可读写,在内核模式下,需要保证访问其他进程的内存是合法的,因此需要先调用 ProbeForRead 函数检查读取的内存空间是否可读写。
利用CR3寄存器可以实现强制读写特定进程的内存地址,这种操作需要一定的权限和技术知识。在实际应用中,这种操作主要用于调试和漏洞挖掘等方面。...同时,由于CR3寄存器的读写属于有痕读写,因此许多驱动保护都会禁止或者修改CR3寄存器的值,以提高系统的安全性,此时CR3读写就失效了,当然如果能找到CR3的正确地址,此方式也是靠谱的一种读写机制。...在读写进程的时候,我们需要先找到目标进程的PEPROCESS结构。...对于想要读写目标进程的内存,我们需要获得目标进程的PEPROCESS结构,才能进一步访问和操作进程的内存。...另外,这种方式的内存读取操作可能会受到驱动保护的限制,需要谨慎使用。
一、前言 块设备驱动块是Linux下3大设备驱动框架之一,块设备主要是针对存储类型的设备设计的驱动,配合文件系统完成数据存储。...所以大致总结下:块设备驱动的目的是给Linux文件系统提供底层接口。 二、编写块设备驱动的思路 既然学到了驱动开发,了解到块设备开发。...在Linux下完成块设备驱动编写,主要是要完成来至文件系统的存储请求,文件系统让你把数据存到那个扇区,你驱动就去存,文件系统让你从那个扇区读取输出来,驱动就去读取。...那么为了方便介绍块设备的驱动开发,我这里会先用malloc在驱动申请一块内存来当做FLASH设备,这样就不需要接任何硬件,降低了难度,纯软件的方式理解驱动框架运作流程。...看懂块设备框架,使用的模拟的内存。 2. 加入SD卡的驱动,配合块设备框架,完成完整的块设备驱动编写。
/********************** * linux的内存管理 **********************/ 到目前为止,内存管理是unix内核中最复杂的活动。...无论是应用程序还是驱动程序,我们在程序中使用的地址都是虚拟地址。 *物理地址(physical address) 32位无符号整数,与从CPU的地址引脚发送到存储器总线上的电信号相对应。...*程序是可重定位的,也就是说,可以把程序放在物理内存的任何地方 *编程者可以编写与机器无关的代码,不必关心物理内存的组织结构 (3)RAM的使用 linux将实际的物理RAM划分为两部分使用,其中若干兆字节专门用于存放内核映像...这些特性包括: *一些硬件只能用某些特定的内存地址来执行DMA *一些体系结构其内存的物理寻址范围远大于虚拟寻址范围,这样,就有一些内存不能永久地映射到内核空间 针对这些限制,linux采用了三种区(<...注意,kmalloc不能分配高端内存 b.释放 #include void kfree(const void *ptr); 如果要释放的内存已经被释放了,或者释放属于内核其他部分的内存
正文 没有用MmMapIoSpace,用了映射的方式对物理地址数据进行读写,之前测试MmMapIoSpace在win10较高版本用不了,貌似是不支持了。...用法和效果如下,加载驱动后,Read.exe用来读取物理地址的数据,限制为0x100字节大小,当然可以通过修改驱动代码来读取任意字节,我这里只是给了个demo;Write.exe则是对指定的物理地址进行写操作...,限制了写入的大小为DWORD32,这里也可以通过修改驱动代码进行调整。...注 不是驱动大佬,可能驱动代码写的并不是很好,如果有什么意见或者驱动存在了蓝屏的问题,欢迎指出和指导 /* function 读取物理地址,大小为FF argv MapAddress:物理地址映射出来的地址...Physicaladdress & 0xFFF; //取低12位作为偏移使用 SectionOffset.QuadPart = (ULONGLONG)(Physicaladdress); // 映射物理内存地址到当前进程的虚地址空间
内核级别的内存读写可用于绕过各类驱动保护,从而达到强制读写对端内存的目的,本人闲暇之余封装了一个驱动级的内核读写接口,使用此接口可实现对远程字节,字节集,整数,浮点数,多级偏移读写等。...如下将简单介绍该内核读写工具各类API接口是如何调用的,鉴于驱动读写商业价值较大故暂时不放出源码(后期考虑)。...GitHUB项目地址:https://github.com/lyshark/LyMemory驱动读写首先要看的就是驱动支持的控制信号,如下是我封装的几个驱动控制器。...,虽然也传入PID但本质上可以SetPid只设置一次PID即可实现后续直接读写内存。...:图片内存整数多级偏移读写: 一个简单的案例实现对内存整数型偏移读写。
内存进程读写可以让我们访问其他进程的内存空间并读取或修改其中的数据。这种技术通常用于各种调试工具、进程监控工具和反作弊系统等场景。...在Windows系统中,内存进程读写可以通过一些API函数来实现,如OpenProcess、ReadProcessMemory和WriteProcessMemory等。...接着我们讲解一下内存读写的实现方法,此处的读写分为32位与64位实现,在32位进程读写时可以使用微软提供的ReadProcessMemory读及WriteProcessMemory写入,这两个函数在参数传递上并没有太大的差异...; 我们以32位为例对上述函数进行整合封装,实现一个通用的内存读写,通过使用template模板机制封装ReadMemory内存读取,WriteMemory内存写入,这些函数在调用时支持读写,内存整数型...写入100.234的浮点数,接着会再调用ReadMemory将这两个数读取并输出到屏幕,如下图所示; 接着我们继续实现读写内存字节集的功能,字节集的读写其原理是通过循环的方式读写字节,每次循环时内存地址递增
领取专属 10元无门槛券
手把手带您无忧上云