LyShark

在某些时候我们需要读写的进程可能存在虚拟内存保护机制，在该机制下用户的`CR3`以及`MDL`读写将直接失效，从而导致无法读取到正确的数据，本章我们将继续研究如何实现物理级别的寻址读写。首先，驱动中的物理页读写是指在驱动中直接读写物理内存页（而不是虚拟内存页）。这种方式的优点是它能够更快地访问内存，因为它避免了虚拟内存管理的开销，通过直接读写物理内存，驱动程序可以绕过虚拟内存的保护机制，获得对系统中内存的更高级别的访问权限。

让我们继续在`《内核读写内存浮点数》`的基础之上做一个简单的延申，如何实现多级偏移读写，其实很简单，读写函数无需改变，只是在读写之前提前做好计算工作，以此来得到一个内存偏移值，并通过调用内存写入原函数实现写出数据的目的。以读取偏移内存为例，如下代码同样来源于本人的`LyMemory`读写驱动项目，其中核心函数为`WIN10_ReadDeviationIntMemory()`该函数的主要作用是通过用户传入的基地址与偏移值，动态计算出当前的动态地址。

如前所述，在前几章内容中笔者简单介绍了`内存读写`的基本实现方式，这其中包括了`CR3切换`读写，`MDL映射`读写，`内存拷贝`读写，本章将在如前所述的读写函数进一步封装，并以此来实现驱动读写内存浮点数的目的。内存`浮点数`的读写依赖于`读写内存字节`的实现，因为浮点数本质上也可以看作是一个字节集，对于`单精度浮点数`来说这个字节集列表是4字节，而对于`双精度浮点数`，此列表长度则为8字节。

关于内存管理和分页模式，不同的操作系统和体系结构可能会有略微不同的实现方式。9-9-9-9-12的分页模式是一种常见的分页方案，其中物理地址被分成四级页表：PXE（Page Directory Pointer Table Entry）、PPE（Page Directory Entry）、PDE（Page Table Entry）和PTE（Page Table Entry）。这种分页模式可以支持大量的物理内存地址映射到虚拟内存地址空间中。每个级别的页表都负责将虚拟地址映射到更具体的物理地址。通过这种层次化的页表结构，操作系统可以更有效地管理和分配内存。

在笔者上一篇文章`《驱动开发内核MDL读写进程内存》`简单介绍了如何通过MDL映射的方式实现进程读写操作，本章将通过如上案例实现远程进程反汇编功能，此类功能也是ARK工具中最常见的功能之一，通常此类功能的实现分为两部分，内核部分只负责读写字节集，应用层部分则配合反汇编引擎对字节集进行解码，此处我们将运用`capstone`引擎实现这个功能。

在上一篇博文`《驱动开发内核通过PEB得到进程参数》`中我们通过使用`KeStackAttachProcess`附加进程的方式得到了该进程的PEB结构信息，本篇文章同样需要使用进程附加功能，但这次我们将实现一个更加有趣的功能，在某些情况下应用层与内核层需要共享一片内存区域通过这片区域可打通内核与应用层的隔离，此类功能的实现依附于MDL内存映射机制实现。

内核中读写内存的方式有很多，典型的读写方式有CR3读写，MDL读写，以及今天要给大家分享的内存拷贝实现读写，拷贝读写的核心是使用`MmCopyVirtualMemory`这个内核API函数实现，通过调用该函数即可很容易的实现内存的拷贝读写。内存拷贝相比于其他的内存读写方式，其实现比较简单，效率也较高。但是需要注意的是，内存拷贝需要对源地址和目标地址进行合法性检查，并且需要保证源地址和目标地址的访问权限。在实现内存拷贝时，需要注意这些问题，以确保内存拷贝的正确性和安全性。

MDL内存读写是一种通过创建MDL结构体来实现跨进程内存读写的方式。在Windows操作系统中，每个进程都有自己独立的虚拟地址空间，不同进程之间的内存空间是隔离的。因此，要在一个进程中读取或写入另一个进程的内存数据，需要先将目标进程的物理内存映射到当前进程的虚拟地址空间中，然后才能进行内存读写操作。相比于CR3切换方式，MDL内存读写更加稳定、安全，且不会受到寄存器的影响。同时，使用MDL内存读写方式还可以充分利用Windows操作系统的内存管理机制，从而实现更为高效的内存读写操作。因此，MDL内存读写是Windows操作系统中最为常用和推荐的一种跨进程内存读写方式。

CR3是一种控制寄存器，它是CPU中的一个专用寄存器，用于存储当前进程的页目录表的物理地址。在x86体系结构中，虚拟地址的翻译过程需要借助页表来完成。页表是由页目录表和页表组成的，页目录表存储了页表的物理地址，而页表存储了实际的物理页框地址。因此，页目录表的物理地址是虚拟地址翻译的关键之一。利用CR3寄存器可以实现强制读写特定进程的内存地址，这种操作需要一定的权限和技术知识。在实际应用中，这种操作主要用于调试和漏洞挖掘等方面。同时，由于CR3寄存器的读写属于有痕读写，因此许多驱动保护都会禁止或者修改CR3寄存器的值，以提高系统的安全性，此时CR3读写就失效了，当然如果能找到CR3的正确地址，此方式也是靠谱的一种读写机制。

在开始学习内核内存读写篇之前，我们先来实现一个简单的内存分配销毁堆的功能，在内核空间内用户依然可以动态的申请与销毁一段可控的堆空间，一般而言内核中提供了`ZwAllocateVirtualMemory`这个函数用于专门分配虚拟空间，而与之相对应的则是`ZwFreeVirtualMemory`此函数则用于销毁堆内存，当我们需要分配内核空间时往往需要切换到对端进程栈上再进行操作，接下来`LyShark`将从API开始介绍如何运用这两个函数实现内存分配与使用，并以此来作为驱动读写篇的入门知识。