外挂、木马、病毒等可能需要读取其他进程的数据,windows提供了OpenProcess、ReadProcessMemory等函数。但越是大型的软件,防护做的越好,大概率会做驱动保护,比如hook SSDT表等,这些系统调用都会先被过滤一次,导致返回的数据不是想要的;为了确保能读到目标进程数据,最好重写ReadProcessMemory;要想读取其他进程的内容,思路大概有一下几种:

  •  注册PsSetLoadImageNotifyRoutine函数,其他进程加载模块会时调用我们注册的函数,这个时候已经进入目标进程的空间,可用memcpy复制数据
  • KeStackAttachProcess可以切换到目标进程,然后用memcpy复制数据,最后调用KeUnstackDetachProcess切换回来
  • 利用进程ID查找EPROCESS,根据名称得到目标EPROCESS后再读取CR3,最用利用目标进程的CR3读取其内存数据;

  前两种方式要调用大家熟知的函数,目的性比较明显,这些函数肯定会被大厂家重点关注,返回的结果可能在逻辑上有误;而第三种方式仅仅根据ID查询EPROCESS,相对前两种更加“人畜无害”,被拦截的概率要小很多,今天详细介绍第三种方式。

  1、为了验证读取数据是否正确,先在notepad随便写一些内容,然后用CE查看地址,如下,后续就选这个地址来测试了;

windows:跨进程读数据-LMLPHP

       这里多说几句:CE为了防止被针对,自己重写了关键的内存扫描/读写、进程打开函数,并未使用windows原生自带的系统调用函数;

windows:跨进程读数据-LMLPHP

  2、遍历进程,根据ID查找EPROCESS,进而得到进程名、CR3等关键信息,这块也比较简单,如下:

PEPROCESS LookupProcess(HANDLE Pid)
{
PEPROCESS eprocess = NULL;
NTSTATUS Status = STATUS_UNSUCCESSFUL;
Status = PsLookupProcessByProcessId(Pid, &eprocess);
if (NT_SUCCESS(Status))
return eprocess;
return NULL;
}

    因不同版本EPROCESS结构体可能有细微区别,保险起见最好在windbg下通过dt _EPROCESS查看一下CR3的偏移,我这里是0x28,那么CR3的获取代码:

ULONG64 target_CR3 = *(PULONG64)((ULONG64)eproc + 0x28);

  3、目标CR3都拿到了,接下来就可以读进程数据了,这里的环境是win10 x64,默认开启了PAE;最初的想法很简单,系统用的是9-9-9-9-12分页,那么先把虚拟地址拆分,再用CR3一步一步跟踪不就得到物理地址了吗? 物理地址都有了,再读取数据岂不是探囊取物般简单了么?

     所以刚开始的代码是这样的:(1)先拆分虚拟地址,得到各个层级的偏移  (2)再仿造windbg种逐步计算的方式一步一步得到物理地址;  (3)这里有点要注意:& 和移位的优先级较低,注意使用括号,避免计算的逻辑错误;

    ULONG64 PML4E_index = (virtualAddress >> ) & 0x1ff;
ULONG64 PDPE_index = (virtualAddress >> ) & 0x1ff;
ULONG64 PDE_index = (virtualAddress >> ) & 0x1ff;
ULONG64 PTE_index = (virtualAddress >> ) & 0x1ff;
ULONG64 physical_offset = virtualAddress & 0xfff;
ULONG64 PML4E = CR3 + (PML4E_index << );
ULONG64 PDPE = (*(PULONG64)PML4E & 0x00000007fffff000) + (PDPE_index << );//上一级table entry的12~35位提供下一级table物理基地址的高24位,此时36~51是保留位,必须置0,低12位补零
ULONG64 PDE = (*(PULONG64)PDPE & 0x00000007fffff000) + (PDE_index << );
ULONG64 PTE = (*(PULONG64)PDE & 0x00000007fffff000) + (PTE_index << );
ULONG64 physicalAddress = (*(PULONG64)PTE & 0x00000007fffff000) + physical_offset;

   然而一运行就蓝屏,通过下断点逐步跟踪,发现罪魁祸首在这行:ULONG64 PDPE = (*(PULONG64)PML4E & 0x00000007fffff000) + (PDPE_index << 3)

   这样代码做的运算有好几个,为了彻查到底是哪个运算导致的蓝屏,继续把代码拆分地更细,最终发现导致蓝屏的真凶:*(PULONG64)PML4E;

     这行代码本身很简单,就是把PML4E转换成指针,再读取其指向的内容,这么简单的操作,为啥会导致蓝屏了?这就牵扯到win10 x64下用户态CR3和内核态CR3的区别了;本案例用的是驱动,在0环内核态执行,自然用的是内核态CR3。但代码读取数据的虚拟地址明显是3环的,属于用户态。不同的CR3会映射到不同的物理地址,最终出错。问题找到了,怎么解决了?既然是CR3不对,那么读取内存之前先切换一下不就行了?

由于vs2019对于x64的程序不允许内联汇编,这里单独新建一个asm文件来切换CR3,如下:

_swapCR3 PROC
mov cr3,rcx;
ret
_swapCR3 Endp

  然后继续单步调试,切换CR3的函数执行完后,CR3成功更改:

windows:跨进程读数据-LMLPHP

  但是在执行*(PULONG64)PML4E前查看时CR3又变回了内核态CR3:

windows:跨进程读数据-LMLPHP

  继续执行不出意外又蓝屏:

windows:跨进程读数据-LMLPHP

   为什么函数 _swapCR3 执行完后,CR3又变回了内核态?经过多次反复尝试,发现都是断点惹的祸:代码里面设置了断点,执行到断点时会被系统进程接管,然后CR3自然就切换;

  既然ret后CR3又被改回,那么只能在汇编代码里面读取虚拟地址的内容了,这次重新写一个_ReadVirtualMemory代码,如下(这里直接使用mov rax,[rdx],还省去了繁琐的地址转换,这部分直接让cpu自动做了):

_ReadVirtualMemory PROC
push rax;
push rbx;
mov rbx,cr3;保存旧的CR3
mov cr3,rcx;
mov rax,[rdx];第二个参数,是VirtualMemory
mov data,rax
mov cr3,rbx;还原旧的CR3
pop rbx;
pop rax;
ret
_ReadVirtualMemory Endp

  在这里读的数据终于对了,效果如下:0x7ffd350ca309 地址前2个字节的内容确实是CC,和通过CE查找到的一致;

windows:跨进程读数据-LMLPHP

  完整代码如下:主文件

#include "ReadProcessMemory.h"

ULONG64 data;

// 根据进程ID返回进程EPROCESS结构体,失败返回NULL
PEPROCESS LookupProcess(HANDLE Pid)
{
PEPROCESS eprocess = NULL;
NTSTATUS Status = STATUS_UNSUCCESSFUL;
Status = PsLookupProcessByProcessId(Pid, &eprocess);
if (NT_SUCCESS(Status))
return eprocess;
return NULL;
} VOID EnumProcess()
{
PEPROCESS eproc = NULL;
for (int temp = ; temp < ; temp += )
{
eproc = LookupProcess((HANDLE)temp);
if (eproc != NULL )
{
if (!strcmp(PsGetProcessImageFileName(eproc),"notepad.exe"))
{
DbgPrint("进程名: %s --> 进程PID = %d --> 父进程PPID = %d -->EPROCESS地址:%p \r\n", PsGetProcessImageFileName(eproc), PsGetProcessId(eproc),
PsGetProcessInheritedFromUniqueProcessId(eproc), eproc);
ULONG64 target_CR3 = *(PULONG64)((ULONG64)eproc + 0x28);
KdBreakPoint();
_ReadVirtualMemory(target_CR3, 0x7ffd350ca309);
DbgPrint("存储内容:%c \r\n", data);
ObDereferenceObject(eproc);
return;
} }
}
} VOID UnDriver(PDRIVER_OBJECT driver)
{
DbgPrint(("Uninstall Driver Is OK \n"));
} NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
EnumProcess();
Driver->DriverUnload = UnDriver;
return STATUS_SUCCESS;
}

  头文件:

#ifndef READPROCESSMEMORY_
#define READPROCESSMEMORY_ #include <ntifs.h> NTKERNELAPI UCHAR* PsGetProcessImageFileName(IN PEPROCESS Process); //未公开的进行导出即可
NTKERNELAPI HANDLE PsGetProcessInheritedFromUniqueProcessId(IN PEPROCESS Process);//未公开进行导出 extern void Dbg_Break();
extern void _swapCR3(ULONG64 target_CR3);
extern void _ReadVirtualMemory(ULONG64 target_CR3, ULONG64 VirtualMemory); extern ULONG64 data; #endif

asm文件:这里切换CR3的时候为了保险起见,建议先保存旧CR3,用完了再切回去;

EXTERN data:qword

.code

Dbg_Break Proc
int
ret
Dbg_Break Endp _swapCR3 PROC
mov cr3,rcx;
ret
_swapCR3 Endp _ReadVirtualMemory PROC
push rax;
push rbx;
mov rbx,cr3;保存旧的CR3
mov cr3,rcx;
mov rax,[rdx];第二个参数,是VirtualMemory
mov data,rax
mov cr3,rbx;还原旧的CR3
pop rbx;
pop rax;
ret
_ReadVirtualMemory Endp END

  最后注意: VS2019在x64的默认调用约定是_stdcall,不是_fastcall,建议改成_fastcall;

windows:跨进程读数据-LMLPHP

05-04 06:32