boxmoe_header_banner_img

⋅無⋅限⋅進⋅步⋅

加载中

POST
文章导读
客户端安全开发基础

[PC]内存读写与监控

avatar
yuhui 2025年10月24日 27
0 评论

内存读写与监控

常见跨进程内存读写方式

用户层内存读写方式

(1)OpenPRocess+ReadPrecessMemory

(2)劫持句柄+ReadPrecessMemory

(3)映射物理内存到自进程

内核层内存读写方式

(1)ZwReadVirtualMemory/NtReadVitualMemory

(2)MmCopyVirtualMemory

(3)MmCopyMemory

(4)RtlCopyMemory

(1)OpenPRocess+ReadPrecessMemory

1742024251195-669a545a-91da-48eb-849c-443afd59f7f7.png

(2)劫持句柄+ReadPrecessMemory

1742024349219-8ed2e08d-4221-417f-9ef6-a20526dc8556.png

(3)映射物理内存到自进程

1742024423332-2e2c1f87-28db-4546-9541-ccd4ffc4e7d1.png

内核层内存读写方式

(1)ZwReadVirtualMemory/NtReadVitualMemory

1742024449923-44a0ea0e-94fa-4b39-af46-ab7316d24539.png

(2)MmCopyVirtualMemory

1742024488496-27f6baa3-6422-4775-8abb-591f0172d2bc.png

(3)MmCopyMemory

1742024523235-ddcdb07f-f1db-46b3-ba21-442ba0708c85.png

(4)RtlCopyMemory

1742024552557-22e08ea2-b91d-445c-b39a-933e854ce269.png

用户层内存读写监控方式
(1)硬件断点
(2)int3断点
(3)页面异常断点
(4processworkingset
内核层内存读写监控方式
(1) vtept断点监控

(1)硬件断点

1742024664145-2e156817-910f-415f-8a55-2edd01535e18.png
(2)int3断点

1742024794267-b399e2dc-8738-4d9c-a9df-35a8a7fb1815.png
(3)页面异常断点

1742024817453-49aca88c-414d-4093-b4b1-01adbd1e5b2f.png
(4processworkingset

1742024840284-4970b9a9-8333-4816-bea0-a42fbe9f7a79.png

内核层内存读写监控方式
(1) vtept断点监控

1742024869670-f0cb677a-f239-468e-9c6c-662a0fce7824.png

1742025039084-127c73d5-e22d-42dc-b4c4-e73687655cff.png

更新: 2025-03-15 15:51:09
原文: https://www.yuque.com/yuhui.net/network/nv3bs5uyavyqrnon

Post Views: 28

评论(0)

查看评论列表

暂无评论

发表评论

表情 颜文字

插入代码