一、新建一个过保护头文件和源文件

1、源文件内容

#include <ntifs.h>
#include "过保护.h"
BOOLEAN KReadProcessMemory(IN PEPROCESS 目标进程, IN PVOID 目标地址, IN UINT32 目标长度, IN OUT PVOID 返回数据)
{
  
  KAPC_STATE apc_state;
  RtlZeroMemory(&apc_state, sizeof(KAPC_STATE));
  //申请内核内存,在所有空间都可使用
  PVOID 内核内存 = ExAllocatePool(NonPagedPool, 目标长度);

  DbgPrint("nxyn:目标地址=%p  返回数据=%p", 目标地址, 返回数据);
  //进入目标进程内存空间,不是通过openprocess获取进程,而是通过一个结构体指针获取进程
  KeStackAttachProcess((PVOID)目标进程, &apc_state);
  //判断目标地址是否可以访问
  BOOLEAN 是否能访问 = MmIsAddressValid(目标地址);
  if (是否能访问)
  {
    //读取内容
    RtlCopyMemory(内核内存, 目标地址, 目标长度);
  }
  else
  {
    KdPrint(("nxyn:不能读取"));
  }
  //将数据分离,就可以随意访问数据
  KeUnstackDetachProcess(&apc_state);
  //将数据通过内核内存返回
  RtlCopyMemory(返回数据, 内核内存, 目标长度);
  ExFreePool(内核内存);
  return 是否能访问;
}

int ReadProcessMemoryForPid(UINT32 dwPid, PVOID pBase, PVOID lpBuffer, UINT32 nSize)
{
  //根据pid获取PEPROCESS
  PEPROCESS Seleted_pEPROCESS = NULL;
  if (PsLookupProcessByProcessId((PVOID)(UINT_PTR)(dwPid), &Seleted_pEPROCESS) == STATUS_SUCCESS)
  {

    BOOLEAN br = KReadProcessMemory(Seleted_pEPROCESS, (PVOID)pBase, nSize, lpBuffer);
    ObDereferenceObject(Seleted_pEPROCESS);
    if (br)
    {
      return nSize;
    }
  }
  else
  {
    KdPrint(("nxyn:错误"));
  }

  return STATUS_SUCCESS;
}

2、头文件内容

#pragma once
int ReadProcessMemoryForPid(UINT32 dwPid, PVOID pBase, PVOID lpBuffer, UINT32 nSize);

二、入口函数调用

1、添加头文件

#include"过保护.h"

2、通过控制码获取

#define irp读被保护数据   CTL_CODE(FILE_DEVICE_UNKNOWN, 0x806,     METHOD_BUFFERED,FILE_ANY_ACCESS)

void IRP读取被保护数据(PIRP IRP指针)
{

  PIO_STACK_LOCATION irpStack = IoGetCurrentIrpStackLocation(IRP指针); //获取应用层传来的参数
  UINT64* 缓冲区 = (UINT64*)(IRP指针->AssociatedIrp.SystemBuffer);
  if (缓冲区)
  {

    UINT32 PID = (UINT32)(UINT64)缓冲区[0]; 
    PVOID pBase = (PVOID)(UINT64)缓冲区[1]; 
    UINT32 nSize = (UINT32)(UINT64)缓冲区[3]; 


    UINT32 ReadSize = ReadProcessMemoryForPid(PID, pBase, 缓冲区, nSize);


    IRP指针->IoStatus.Status = STATUS_SUCCESS;
    IRP指针->IoStatus.Information = nSize;
    IoCompleteRequest(IRP指针, IO_NO_INCREMENT);
  }
  irpStack;
}

else if (控制码==irp读被保护数据)
    {
      IRP读取被保护数据(IRP指针);
      return STATUS_SUCCESS;
    }

三、应用层调用

1、添加一个编辑框和按钮读取被保护数据

驱动保护 -- 读取被保护的数据_缓存

2、控制码复制过来

#define irp读被保护数据   CTL_CODE(FILE_DEVICE_UNKNOWN, 0x806,     METHOD_BUFFERED,FILE_ANY_ACCESS)

3、按钮代码实现

void CtestDlg::OnBnClickedButtonDqbbhsj()
{
   UpdateData(true);
  DWORD 返回字节数 = 0;
  DWORD 临时数据 = 0;
  UINT_PTR 地址 = 0x400000;
  UINT64 输入缓存区[10] = { mbpid,地址,0,4 };
  DeviceIoControl(
    设备句柄,
    irp读被保护数据,
    &输入缓存区,
    8*4,
    &临时数据,
    sizeof(临时数据),
    &返回字节数,
    NULL
  );
  char 缓存[256];
  sprintf_s(缓存, "读取被保护值%X", 临时数据);
  ::MessageBoxA(0, 缓存, "读被保护测试", MB_OK);
}

四、生成相应的程序,然后进行读写测试

驱动保护 -- 读取被保护的数据_数据_02