我来我网
https://5come5.cn
 
您尚未 登录  注册 | 菠菜 | 软件站 | 音乐站 | 邮箱1 | 邮箱2 | 风格选择 | 更多 » 
 

«1 2 » Pages: ( 2/2 total )
本页主题: 刚刚找了个用户态执行内核态程序的源码 隐藏签名 | 打印 | 加为IE收藏 | 收藏主题 | 上一主题 | 下一主题

yinx



性别: 帅哥 状态: 该用户目前不在线
等级: 人见人爱
家族: 丢丢
发贴: 2333
威望: 0
浮云: 1260
在线等级:
注册时间: 2006-09-15
最后登陆: 2009-05-11

5come5帮你背单词 [ criticism /'kritisizəm/ a. 爱挑剔别人的,批评的,重大的,决定性的 ]


Quote:
引用第9楼yinx于2007-12-22 12:04发表的  :


本来是不可以的,
但它调用了SetPhyscialMemorySectionCanBeWrited这个函数之后就可以了


我错了~~

Copy code
        status = ntdll.CallFunc( "ZwOpenSection",
            &m_hSection,
            SECTION_MAP_READ|SECTION_MAP_WRITE,
            &objectAttributes );

        if(status == STATUS_ACCESS_DENIED)
        {
            status = ntdll.CallFunc( "ZwOpenSection",
                &m_hSection,
                READ_CONTROL|WRITE_DAC,
                &objectAttributes );

            if( status == STATUS_SUCCESS )
            {
                SetPhyscialMemorySectionCanBeWrited(m_hSection);
                ntdll.CallFunc( "ZwClose", m_hSection );
                status = ntdll.CallFunc( "ZwOpenSection",
                    &m_hSection,
                    SECTION_MAP_WRITE|SECTION_MAP_WRITE,
                    &objectAttributes );
            }
        }


他是先调用ZwOpenSection,如果返回STATUS_ACCESS_DENIED再调用SetPhyscialMemorySectionCanBeWrited的。

我调试的时候调用ZwOpenSection就已经成功的了,程序没有再去调用SetPhyscialMemorySectionCanBeWrited

自强不息!
顶端 Posted: 2007-12-22 12:49 | [15 楼]
blulove



性别: 帅哥 状态: 该用户目前不在线
等级: 栋梁之材
发贴: 712
威望: 0
浮云: 1117
在线等级:
注册时间: 2006-02-27
最后登陆: 2008-06-30

5come5帮你背单词 [ political /pə'litikəl/ a. 政治的 ]


主要的流程大概是这样: 
  1:高地址虚拟空间转换为物理空间,RING3不可见
2:重新映射获得的物理空间到低地址虚拟空间,这下RING3可见了赛
3:添加GDT描述符,完事
『很久很久以前,谎言和真实在河边洗澡, 
 谎言先洗好,穿了真实的衣服离开,  
 真实却不肯穿谎言的衣服。 
 后来,在人们的眼里, 
 只有穿着真实衣服的谎言, 
 却很难接受赤裸裸的真实』
顶端 Posted: 2007-12-22 12:50 | [16 楼]
blulove



性别: 帅哥 状态: 该用户目前不在线
等级: 栋梁之材
发贴: 712
威望: 0
浮云: 1117
在线等级:
注册时间: 2006-02-27
最后登陆: 2008-06-30

5come5帮你背单词 [ mould /məuld/ B n. 模型,模子;vt. 浇铸塑造 ]


GDT,IDT这些当然不能被换出,不然那还不蓝屏蓝爽
『很久很久以前,谎言和真实在河边洗澡, 
 谎言先洗好,穿了真实的衣服离开,  
 真实却不肯穿谎言的衣服。 
 后来,在人们的眼里, 
 只有穿着真实衣服的谎言, 
 却很难接受赤裸裸的真实』
顶端 Posted: 2007-12-22 12:52 | [17 楼]
blulove



性别: 帅哥 状态: 该用户目前不在线
等级: 栋梁之材
发贴: 712
威望: 0
浮云: 1117
在线等级:
注册时间: 2006-02-27
最后登陆: 2008-06-30

5come5帮你背单词 [ plan /plæn/ n. 计划,策略,平面图,设计图;v. 计划 ]


这个似乎通过打开物理内存对象来操作的吧
『很久很久以前,谎言和真实在河边洗澡, 
 谎言先洗好,穿了真实的衣服离开,  
 真实却不肯穿谎言的衣服。 
 后来,在人们的眼里, 
 只有穿着真实衣服的谎言, 
 却很难接受赤裸裸的真实』
顶端 Posted: 2007-12-22 12:53 | [18 楼]
yinx



性别: 帅哥 状态: 该用户目前不在线
等级: 人见人爱
家族: 丢丢
发贴: 2333
威望: 0
浮云: 1260
在线等级:
注册时间: 2006-09-15
最后登陆: 2009-05-11

5come5帮你背单词 [ terrific /tə'rifik/ a. 极好的,了不起的,极大的,极度的 ]


Quote:
引用第16楼blulove于2007-12-22 12:50发表的  :
主要的流程大概是这样: 
  1:高地址虚拟空间转换为物理空间,RING3不可见
2:重新映射获得的物理空间到低地址虚拟空间,这下RING3可见了赛
3:添加GDT描述符,完事


第2项不懂,蝈蝈教我一下~
它是用哪些语句完成第2项的?

自强不息!
顶端 Posted: 2007-12-22 12:54 | [19 楼]
blulove



性别: 帅哥 状态: 该用户目前不在线
等级: 栋梁之材
发贴: 712
威望: 0
浮云: 1117
在线等级:
注册时间: 2006-02-27
最后登陆: 2008-06-30

5come5帮你背单词 [ suitor /'sju:tə/ n. 求婚者,诉讼人,原告,求情者,请愿者 ]


里面应该有VirtualAddrToPhysicAddr这样的函数的,不然没有办法操作嘛
『很久很久以前,谎言和真实在河边洗澡, 
 谎言先洗好,穿了真实的衣服离开,  
 真实却不肯穿谎言的衣服。 
 后来,在人们的眼里, 
 只有穿着真实衣服的谎言, 
 却很难接受赤裸裸的真实』
顶端 Posted: 2007-12-22 13:03 | [20 楼]
blulove



性别: 帅哥 状态: 该用户目前不在线
等级: 栋梁之材
发贴: 712
威望: 0
浮云: 1117
在线等级:
注册时间: 2006-02-27
最后登陆: 2008-06-30

5come5帮你背单词 [ rosy /'rəuzi/ a. 玫瑰色的,美好的,光明的 ]


求强人转下C代码  
『很久很久以前,谎言和真实在河边洗澡, 
 谎言先洗好,穿了真实的衣服离开,  
 真实却不肯穿谎言的衣服。 
 后来,在人们的眼里, 
 只有穿着真实衣服的谎言, 
 却很难接受赤裸裸的真实』
顶端 Posted: 2007-12-22 13:04 | [21 楼]
yinx



性别: 帅哥 状态: 该用户目前不在线
等级: 人见人爱
家族: 丢丢
发贴: 2333
威望: 0
浮云: 1260
在线等级:
注册时间: 2006-09-15
最后登陆: 2009-05-11

5come5帮你背单词 [ everything /'evriθiŋ/ pron. 一切,每件事,凡事 ]


Quote:
引用第20楼blulove于2007-12-22 13:03发表的  :
里面应该有VirtualAddrToPhysicAddr这样的函数的,不然没有办法操作嘛


确实是有这样的函数,
不过你说的第二步是把物理空间映射到低虚拟空间,
我不知道要用什么语句完成映射这个操作

自强不息!
顶端 Posted: 2007-12-22 13:07 | [22 楼]
blulove



性别: 帅哥 状态: 该用户目前不在线
等级: 栋梁之材
发贴: 712
威望: 0
浮云: 1117
在线等级:
注册时间: 2006-02-27
最后登陆: 2008-06-30

5come5帮你背单词 [ mechanics /mi'kæniks/ n. 机械制造学,力学 ]


原来API帮我们完成了,MapViewOfFile
『很久很久以前,谎言和真实在河边洗澡, 
 谎言先洗好,穿了真实的衣服离开,  
 真实却不肯穿谎言的衣服。 
 后来,在人们的眼里, 
 只有穿着真实衣服的谎言, 
 却很难接受赤裸裸的真实』
顶端 Posted: 2007-12-22 13:34 | [23 楼]
blulove



性别: 帅哥 状态: 该用户目前不在线
等级: 栋梁之材
发贴: 712
威望: 0
浮云: 1117
在线等级:
注册时间: 2006-02-27
最后登陆: 2008-06-30

5come5帮你背单词 [ bus /bΛs/ n. 公共汽车 ]


貌似想复杂了,有物理内存对象这个接口,不需要这么复杂
『很久很久以前,谎言和真实在河边洗澡, 
 谎言先洗好,穿了真实的衣服离开,  
 真实却不肯穿谎言的衣服。 
 后来,在人们的眼里, 
 只有穿着真实衣服的谎言, 
 却很难接受赤裸裸的真实』
顶端 Posted: 2007-12-22 14:03 | [24 楼]
blulove



性别: 帅哥 状态: 该用户目前不在线
等级: 栋梁之材
发贴: 712
威望: 0
浮云: 1117
在线等级:
注册时间: 2006-02-27
最后登陆: 2008-06-30

5come5帮你背单词 [ amuse /ə'mju:z/ vt. 逗乐,使开心,给…提供娱乐 ]


1:获取内存中GDT基地址VirGdtAddr(_asm sgdt fword ptr gdt;)
2:调用VirtualToPhysicalAddress把VirGdtAddr转换成PhyGdtAddr
3:打开物理内存对象,设置写权限
4:映射物理内存对象
5:定位到PhyGdtAddr,搜索GDT空项,填加gate


[ 此帖被blulove在2007-12-22 17:59重新编辑 ]
『很久很久以前,谎言和真实在河边洗澡, 
 谎言先洗好,穿了真实的衣服离开,  
 真实却不肯穿谎言的衣服。 
 后来,在人们的眼里, 
 只有穿着真实衣服的谎言, 
 却很难接受赤裸裸的真实』
顶端 Posted: 2007-12-22 14:12 | [25 楼]
blulove



性别: 帅哥 状态: 该用户目前不在线
等级: 栋梁之材
发贴: 712
威望: 0
浮云: 1117
在线等级:
注册时间: 2006-02-27
最后登陆: 2008-06-30

5come5帮你背单词 [ appetite /'æpitait/ n. 食欲,胃口,爱好,嗜好,欲望 ]


Quote:
引用第16楼blulove于2007-12-22 12:50发表的  :
主要的流程大概是这样: 
  1:高地址虚拟空间转换为物理空间,RING3不可见
2:重新映射获得的物理空间到低地址虚拟空间,这下RING3可见了赛
3:添加GDT描述符,完事


至于这个嘛,可以做个不利用物理内存对象操作任意进程任意空间的东东出来耍,不过似乎要对OS分页分段很熟悉才行
『很久很久以前,谎言和真实在河边洗澡, 
 谎言先洗好,穿了真实的衣服离开,  
 真实却不肯穿谎言的衣服。 
 后来,在人们的眼里, 
 只有穿着真实衣服的谎言, 
 却很难接受赤裸裸的真实』
顶端 Posted: 2007-12-22 14:15 | [26 楼]
«1 2 » Pages: ( 2/2 total )
我来我网·5come5 Forum » 程序员之家

Total 0.010316(s) query 5, Time now is:11-22 10:33, Gzip enabled
Powered by PHPWind v5.3, Localized by 5come5 Tech Team, 黔ICP备16009856号