Очень нужна помощь!!! Доступ в память.

Дайте пожалуйста кусочек кода для прямого доступа к физической памяти. Очень нужно! Знаю что нужно делать через драйвер, но что в нем писать? Заранее спасибо...

 

Писать напрямую в физ. память можно и из юзермода с помощью NtSystemDebugControl, в аттаче необходимые структуры.

 

Извините за глупый вопрос!! А нельзя чуть чуть поподробней мне нужно записать по адресу 0x8000 и 0CD200 несколько единичек-) Приложенный файл скачал, большое спасибо. Но пока не понял как смогу сделать это. Заранее огромное спасибо

 

нельзя ли мне пример какого нибудь кода для примера пожалуйста?

 

Код (Text):

1. KdPhysicalMemoryOperation proc Operation:BOOLEAN, PhysicalAddress:PVOID, BufferAddress:PVOID, BytesToRead:ULONG
2. Local DbgBuffer:DBGKD_READ_WRITE_PHYSICAL
3.     xor eax,eax
4.     mov edx,PhysicalAddress
5.     mov ecx,BufferAddress
6.     mov DbgBuffer.AddressHi,eax
7.     mov DbgBuffer.AddressLo,edx
8.     mov DbgBuffer.Buffer,ecx
9.     push eax
10.     mov edx,BytesToRead
11.     push eax
12.     push eax
13.     lea ecx,DbgBuffer
14.     mov DbgBuffer._Length,edx
15.     push Sizeof DBGKD_READ_WRITE_PHYSICAL
16.     push ecx
17.     .if Operation == Eax
18.     push SysDbgReadPhysical
19.     .else
20.     push SysDbgWritePhysical
21.     .endif
22.     Call ZwSystemDebugControl
23.     ret
24. KdPhysicalMemoryOperation endp
25.  
26. NTSTATUS
27. KdPhysicalMemoryOperation(
28.     IN BOOLEAN Operation,
29.     IN ULONG PhysicalAddress,
30.     IN OUT PVOID BufferAddress,
31.     IN ULONG BytesToRead)

 

Нужны привилегии отладчика чтоб заюзать.

 

Clerk
оффтоп:
а как с нулевого кольца в токене процесса включить отладочные привелегии??

 

Посмотри как реализован сервис NtAdjustPrivilegesToken.

 

находишь EPROCESS своего процесса и какого-то системного процесса, и просто копируешь поле Token из системного процесса в свой.

оффсеты для поля token в EPROCESS -
XP - 0C8h
2003 Server - 0D8h
Vista - 0E0h

 

Спасибо большое за ответы! А нет ли у кого нибудь кода для драйвера? Буду очень благодарен-)

 

KmdKit 1.8 by Four-F
http://www.wasm.ru/baixado.php?mode=tool&id=221

 

извините за тупость-) Но как это относится к доступу в физическую память через драйвер?

 

iilisav
Есть устройство "\Device\PhysicalMemory" можно открыть доступ к физической памяти через него.
Там есть пример.
Только вот в Win2k3 доступ к "\Device\PhysicalMemory" можно получить только из драйвера, привелегии подняли :-(

 

Теперь понятно. Огромное вам спасибо! Буду пробывать! А нельзя ли мне сказать где этот пример?

 

KmdKit\tools\PhysMemBrowser\src

 

Clerk
Кажется это ваша тема http://www.wasm.ru/forum/viewtopic.php?id=24636?
У вас не найдется готового пример драйвера через "\Device\PhysicalMemory"? Буду очень очень благодарен!

 

Или может быть кто нибудь знает кто сможет написать мне такой драйвер долларов за 100?

 

iilisav
Из кернелмода и так вся память доступна.

 

Речь идет о физической памяти.
Даже из кернел мода она просто так недоступна.
Сначала нужно замапить ее в адресное пространство ядра.
Самый простой способ сделать это - обратиться к \Device\PhysicalMemory

 

Память замапить в память чтобы к ней обратиться.. хз никогда не юзал)