mdl内存读写是通过创建mdl结构体实现跨进程内存读写的一种方法。在windows操作系统中,每个进程拥有独立的虚拟地址空间,不同进程的内存空间是隔离的。因此,要在一个进程中读取或写入另一个进程的内存数据,首先需要将目标进程的物理内存映射到当前进程的虚拟地址空间中,然后才能进行内存读写操作。
MDL结构体是Windows内核中专门用于描述物理内存的数据结构,包含了物理地址、长度、内存映射的虚拟地址等信息。通过创建MDL结构体并调用系统函数将其映射到当前进程的虚拟地址空间中,可以实现跨进程内存读写操作。
与CR3切换方式相比,MDL内存读写更稳定、安全,且不受寄存器影响。同时,MDL内存读写方式还能充分利用Windows操作系统的内存管理机制,实现更高效的内存读写操作。因此,MDL内存读写是Windows操作系统中最常用和推荐的跨进程内存读写方式。
通过上述步骤,我们可以封装MDLReadMemory()内存读函数,代码如下,该函数用于在Windows内核模式下读取指定进程的内存数据:
#include <ntifs.h>
#include <windef.h>
<p>typedef struct {
DWORD pid; // 要读写的进程ID
DWORD64 address; // 要读写的地址
DWORD size; // 读写长度
BYTE* data; // 要读写的数据
} ReadMemoryStruct;</p><p>// MDL读内存
BOOL MDLReadMemory(ReadMemoryStruct<em> data) {
BOOL bRet = TRUE;
PEPROCESS process = NULL;
PsLookupProcessByProcessId(data->pid, &process);
if (process == NULL) {
return FALSE;
}
BYTE</em> GetData;
<strong>try {
GetData = ExAllocatePool(PagedPool, data->size);
} </strong>except (1) {
return FALSE;
}
KAPC_STATE stack = { 0 };
KeStackAttachProcess(process, &stack);
<strong>try {
ProbeForRead(data->address, data->size, 1);
RtlCopyMemory(GetData, data->address, data->size);
} </strong>except (1) {
bRet = FALSE;
}
ObDereferenceObject(process);
KeUnstackDetachProcess(&stack);
RtlCopyMemory(data->data, GetData, data->size);
ExFreePool(GetData);
return bRet;
}</p><p>VOID UnDriver(PDRIVER_OBJECT driver) {
DbgPrint(("Uninstall Driver Is OK \n"));
}</p><p>NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath) {
DbgPrint(("hello lyshark \n"));
ReadMemoryStruct ptr;
ptr.pid = 6672;
ptr.address = 0x402c00;
ptr.size = 100;
// 分配空间接收数据
ptr.data = ExAllocatePool(PagedPool, ptr.size);
// 读内存
MDLReadMemory(&ptr);
// 输出数据
for (size_t i = 0; i < ptr.size; i++) {
DbgPrint(("%02x ", ptr.data[i]));
}
DbgPrint(("\n"));
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}读取内存地址0x402c00效果如下所示:
从上述分析来看,写入操作与读取操作基本类似,只是多了锁定页面和解锁操作。MDL写内存的完整实现代码如下所示:
#include <ntifs.h></p><h1>include <windef.h></h1><p>typedef struct {
DWORD pid; // 要读写的进程ID
DWORD64 address; // 要读写的地址
DWORD size; // 读写长度
BYTE* data; // 要读写的数据
} WriteMemoryStruct;</p><p>// MDL写内存
BOOL MDLWriteMemory(WriteMemoryStruct<em> data) {
BOOL bRet = TRUE;
PEPROCESS process = NULL;
PsLookupProcessByProcessId(data->pid, &process);
if (process == NULL) {
return FALSE;
}
BYTE</em> GetData;
<strong>try {
GetData = ExAllocatePool(PagedPool, data->size);
} </strong>except (1) {
return FALSE;
}
for (int i = 0; i < data->size; i++) {
GetData[i] = data->data[i];
}
KAPC_STATE stack = { 0 };
KeStackAttachProcess(process, &stack);
PMDL mdl = IoAllocateMdl(data->address, data->size, 0, 0, NULL);
if (mdl == NULL) {
return FALSE;
}
MmBuildMdlForNonPagedPool(mdl);
BYTE* ChangeData = NULL;
<strong>try {
ChangeData = MmMapLockedPages(mdl, KernelMode);
RtlCopyMemory(ChangeData, GetData, data->size);
} </strong>except (1) {
bRet = FALSE;
goto END;
}
END:
IoFreeMdl(mdl);
ExFreePool(GetData);
KeUnstackDetachProcess(&stack);
ObDereferenceObject(process);
return bRet;
}</p><p>VOID UnDriver(PDRIVER_OBJECT driver) {
DbgPrint(("Uninstall Driver Is OK \n"));
}</p><p>NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath) {
DbgPrint(("hello lyshark \n"));
WriteMemoryStruct ptr;
ptr.pid = 6672;
ptr.address = 0x402c00;
ptr.size = 5;
// 需要写入的数据
ptr.data = ExAllocatePool(PagedPool, ptr.size);
// 循环设置
for (size_t i = 0; i < ptr.size; i++) {
ptr.data[i] = 0x90;
}
// 写内存
MDLWriteMemory(&ptr);
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}写出效果如下:
以上就是3.3 Windows驱动开发:内核MDL读写进程内存的详细内容,更多请关注php中文网其它相关文章!
广告![ThinkPHP5快速开发企业站点[全程实录]](https://img.php.cn/upload/course/000/000/068/6253d918a3ce7278.png)
收藏
收藏
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
760
