哪个网站做刷手最好网站建设高清图

哪个网站做刷手最好,网站建设高清图,网站开发后端用什么,别人网站 自己的二级域名免责声明#xff1a;内容仅供学习参考#xff0c;请合法利用知识#xff0c;禁止进行违法犯罪活动#xff01; 本次游戏没法给 内容参考于#xff1a;微尘网络安全 上一个内容#xff1a;16.驱动的加载和卸载-Windows驱动 效果图#xff1a;首先通过CE附加txt文本文…免责声明内容仅供学习参考请合法利用知识禁止进行违法犯罪活动本次游戏没法给内容参考于微尘网络安全上一个内容16.驱动的加载和卸载-Windows驱动效果图首先通过CE附加txt文本文档然后搜索一个8字节的数据为什么是8字节因为现在的驱动只实现了读取8字节然后在我们的MFC程序里输入进程id和要读取的内存地址然后得到内存地址里的值然后就实现了使用内核驱动读取进程里的数据的功能这样就可以过保护了有一个网站可以查看蓝屏原因https://learn.microsoft.com/zh-cn/windows-hardware/drivers/debugger/bug-check-code-reference2如下图红框位置当操作系统蓝屏会在Windbg中出现先看0x44拿着0x44去下图红框位置找如下图0x44的问题说明这个问题一般是重复执行 IoCompleteRequest(Irp,IO_NO_INCREMENT); 这个代码导致的实现原理正常的方式是通过注入进去或通过跨进程读取内存跨进程读写的方式然后读取游戏的内存现在我们可以使用内核驱动的方式来读写驱动的方式会比较安全首先内核层的内存是所有进程共享的所以在内核层申请一个内存所有进程就都可以访问这个内存所以我们可以通过DeviceIoControl进入内核然后在内核中申请一块内存然后使用驱动附加到游戏的进程然后把游戏的内存复制到我们在内核中申请的内存空间里然后再通过DeviceIoControl返回给我们这样就能读到游戏里的值了涉及的内核api1.PsLookupProcessByProcessId 通过进程id得到进程的结构EProcess通过这个结构可以得到进程中所有的数据这里得到的是PEProcess结构也就是EProcess的地址也就是指针2.KeStackAttachProcess通过PsLookupProcessByProcessId 得到进程结构EProcess然后通过KeStackAttachProcess把我们驱动附加到进程游戏里3.ExAllocatePool在内核中申请一块内存这个内存是堆内存4.KeUnstackDetachProcessKeStackAttachProcess是附加KeUnstackDetachProcess是退出附加驱动添加的代码代码说明注意在内核中申请了内存或创建得到了某结构必须用完就释放否侧会蓝屏// 函数功能读取指定进程的指定内存地址的8字节数据通过IRP返回给用户态 // 参数Irp - 内核请求包裹包含用户态传入的参数和返回数据的缓冲区 void ReadProcessBAtt(IRP* Irp) { // 触发调试断点仅调试用发布版必须删除否则会导致系统断点崩溃 // 作用WinDbg调试时会暂停在这里方便查看变量/内存 // 如果不挂载Windbg必须删除__debugbreak();这个代码否则会蓝屏 __debugbreak(); // 1. 解析用户态传入的参数SystemBuffer存储用户态发来的3个64位值 // buf[0] 目标进程PID64位、buf[1] 目标进程的内存地址64位、buf[2] 备用暂未用 UINT64* buf (UINT64*)Irp-AssociatedIrp.SystemBuffer; // 调试日志打印用户态传入的参数16进制方便查看地址/PID DbgPrintEx(DPFLTR_IHVDRIVER_ID, 0, IRP_MJ_DEVICE_CONTROL buf[0] %llx\n, buf[0]); // PID DbgPrintEx(DPFLTR_IHVDRIVER_ID, 0, IRP_MJ_DEVICE_CONTROL buf[1] %llx\n, buf[1]); // 目标内存地址 DbgPrintEx(DPFLTR_IHVDRIVER_ID, 0, IRP_MJ_DEVICE_CONTROL buf[2] %llx\n, buf[2]); // 备用参数 // 2. 定义EPROCESS指针EPROCESS是内核中描述进程的核心结构体相当于进程的身份证 PEPROCESS pep NULL; // 3. 通过PID查找目标进程的EPROCESS结构体必须检查返回值防止PID无效导致空指针 // PsLookupProcessByProcessId内核核心函数将用户态PID转换为内核EPROCESS对象 NTSTATUS status PsLookupProcessByProcessId((HANDLE)buf[0], pep); if (!NT_SUCCESS(status)) { Irp-IoStatus.Status status; // 把失败原因返回给用户态 Irp-IoStatus.Information 0; IoCompleteRequest(Irp, IO_NO_INCREMENT); return; } // 4. 分配8字节非分页池内存存储读取到的目标进程数据 /***************************************************************************** * 非分页池NonPagedPool/NPagedPool核心说明 * 1. 定义Windows内核内存分为「分页池」和「非分页池」两类 * - 分页池PagedPool内存可被系统换出到硬盘的页面文件pagefile.sys节省物理内存 * - 非分页池NonPagedPool内存始终驻留在物理内存中不会被换出系统任何时候都能访问。 * 2. 适用场景 * - 内核中断请求级别IRQL≥ DISPATCH_LEVEL时如中断处理、DPC回调只能用非分页池 * - 操作其他进程地址空间如KeStackAttachProcess附加进程、线程调度等核心场景 * - 需要保证内存「随时可访问」的场景分页池换出后访问会导致蓝屏。 * 3. 安全注意 * - Win10/Win11及以上系统推荐使用 NonPagedPoolNxNon-Executable即「不可执行非分页池」 * - 旧版 NonPagedPool 允许内存执行代码存在恶意代码注入风险仅兼容旧系统时使用。 * 4. 内存管理 * - 非分页池是系统稀缺资源总量远小于分页池分配后必须用ExFreePool释放 * - 未释放会导致「内核内存泄漏」长期运行会耗尽非分页池引发系统卡顿、蓝屏。 *****************************************************************************/ PVOID p ExAllocatePool(NonPagedPoolNx, 8); // 优先使用安全的不可执行非分页池 // 5. 内存分配失败的容错处理非分页池分配可能失败必须检查 if (!p) { Irp-IoStatus.Status STATUS_INSUFFICIENT_RESOURCES; // 内存不足错误码 Irp-IoStatus.Information 0; IoCompleteRequest(Irp, IO_NO_INCREMENT); ObDereferenceObject(pep); // 释放EPROCESS引用避免内存泄漏 return; } // 6. 附加到目标进程地址空间访问其他进程内存的核心步骤 KAPC_STATE apc; // 保存当前进程上下文用于解除附加后恢复 KeStackAttachProcess(pep, apc); // 7. 检查目标地址合法性防止无效地址导致内存访问错误蓝屏 if (!MmIsAddressValid((PVOID)buf[1])) { Irp-IoStatus.Status STATUS_ACCESS_VIOLATION; // 地址无效错误码 IoCompleteRequest(Irp, IO_NO_INCREMENT); KeUnstackDetachProcess(apc); // 先解除附加 ExFreePool(p); // 释放非分页池内存 ObDereferenceObject(pep); // 释放EPROCESS引用 return; } // 8. 读取目标进程内存从buf[1]地址拷贝8字节到非分页池内存p中 // 此时已附加到目标进程buf[1]是目标进程的有效虚拟地址可安全读取 RtlCopyMemory(p, (PVOID)buf[1], 8); // 9. 解除进程附加必须否则内核线程会一直挂靠在目标进程导致系统异常 KeUnstackDetachProcess(apc); // 10. 把读取到的8字节数据拷贝回SystemBuffer系统自动同步到用户态OutBuf RtlCopyMemory(Irp-AssociatedIrp.SystemBuffer, p, 8); // 11. 释放非分页池内存核心避免非分页池泄漏 ExFreePool(p); // 12. 设置请求处理结果成功 返回8字节数据 Irp-IoStatus.Status STATUS_SUCCESS; Irp-IoStatus.Information 8; // 告知用户态实际返回8字节 IoCompleteRequest(Irp, IO_NO_INCREMENT); // 13. 释放EPROCESS对象引用内核对象有引用计数不释放会内存泄漏 ObDereferenceObject(pep); }用户层用到的控件过保护读内存按钮的代码代码说明void CMFCApplication1Dlg::OnBnClickedButton8() { // 1. 同步界面控件数据到关联的成员变量关键 // UpdateData(TRUE/1)把界面上输入框的内容读取到对应的CString变量如pID、Address // 如果不调用pID/Address还是旧值读取的是错误的PID/地址 UpdateData(1); // 2. 定义临时变量存储转换后的PID和内存地址64位适配驱动的UINT64 // LONGLONG int64_t和UINT64uint64_t都是8字节可兼容转换 LONGLONG TmpPID 0, TmpAddress 0; // 3. 把界面输入的字符串Unicode转换为64位整数支持十六进制 // 参数1界面输入的字符串pID是关联PID输入框的CStringW变量 // 参数2STIF_SUPPORT_HEX 支持十六进制比如输入0x1234也能正确转换 // 参数3输出转换后的64位数值 StrToInt64ExW(pID.GetString(), STIF_SUPPORT_HEX, TmpPID); // PID字符串转64位整数 StrToInt64ExW(Address.GetString(), STIF_SUPPORT_HEX, TmpAddress); // 内存地址字符串转64位整数 // 4. 组装传给驱动的输入缓冲区和驱动约定的格式 // MyBuf[0] 目标进程PID64位 // MyBuf[1] 目标进程的内存地址64位 // MyBuf[2] 要读取的内存大小8字节驱动暂未用到但预留参数 UINT64 MyBuf[3] { (UINT64)TmpPID, // 转换为无符号64位驱动侧用UINT64接收 (UINT64)TmpAddress, // 目标内存地址64位虚拟地址 8 // 计划读取的字节数驱动固定读8字节此参数仅预留 }; // 5. 定义变量接收驱动返回的「实际传输字节数」 DWORD len 0; // 6. 定义输出缓冲区接收驱动返回的8字节内存数据初始化为NULL UINT64 OutBuf NULL; // 7. 调用DeviceIoControl和驱动通信核心 // 参数说明 // nDeviveHandle驱动设备句柄需提前用CreateFile打开必须有效 // 过保护读内存自定义控制码需和驱动侧的控制码完全一致 // MyBuf输入缓冲区地址传给驱动的PID地址长度 // sizeof(MyBuf)输入缓冲区大小3*824字节 // OutBuf输出缓冲区地址接收驱动读取的8字节数据 // sizeof(OutBuf)输出缓冲区大小8字节 // len输出参数驱动会填充「实际返回的字节数」应该是8 // NULL同步调用等待驱动处理完成再返回 BOOL ret DeviceIoControl(nDeviveHandle, 过保护读内存, MyBuf, sizeof(MyBuf), OutBuf, sizeof(OutBuf), len, NULL); // 8. 格式化结果并弹窗显示 char a[1024]; // 注意原代码用%d打印UINT64会截断%d是32位已修正为%llx十六进制/%I64u十进制 sprintf_s(a, am: 过保护读内存结果\n DeviceIoControl返回值%d1成功0失败\n 错误码%d\n 驱动实际返回字节数%d\n 读取到的内存值十六进制%llx\n 读取到的内存值十进制%I64u, ret, GetLastError(), len, OutBuf, OutBuf); MessageBoxA(0, a, 过保护读内存, MB_OK); }完整的项目代码去百度网盘中查找