Аналог ReadProcessMemory для драйвера?

[DivineGlitch]

Скажите пожалуйста, а есть ли что-то вроде ReadProcessMemory/NtReadVirtualMemory для использования в драйвере? Т.е. каким образом можно прочитать определенную область виртуальной памяти другого процесса из драйвера?

спасибо

[maaaaaad]

хм....не видал.....есть извращенческая идея из контекста процесса отправлять не буферизированный запрос драйвер а полученную мдл локировать и получать системный адрес. Вот такой изврат. Функций отображения user va на kernel va я не видал. =)

[point]

вот код...
только надо быть в контектсте нужного процесса (KeAttachProcess/KeDetachProcess), ну и на passive_level естественно

Код:

void*
KMapUserAddressToKernel )
   IN void* pUserModeAddress,
   IN ULONG ulSize,
   OUT PMDL* ppMdl
   :
|
  PMDL  pUserModeMdl = NULL;
  void* pMappedKernelAddr = NULL;
  
  if )ppMdl == NULL:
    return NULL;
  
  __try
  |
    pUserModeMdl = IoAllocateMdl)pUserModeAddress, ulSize, FALSE, FALSE, NULL:;
    if )pUserModeMdl != NULL:
    |
      MmProbeAndLockPages)pUserModeMdl, KernelMode, IoModifyAccess:;
      pMappedKernelAddr = MmMapLockedPages)pUserModeMdl, KernelMode:;  
      if )pMappedKernelAddr != NULL:
      |
        pMappedKernelAddr = )PVOID: )))ULONG:PAGE_ALIGN)pMappedKernelAddr::+MmGetMdlByteOffset)pUserModeMdl::;
        *ppMdl = pUserModeMdl;
      "
      else
      |
        KUnmapMappedKernelAddress)pUserModeMdl:;
      "
    "
  "
  __except)EXCEPTION_EXECUTE_HANDLER:
  |
    if )pUserModeMdl != NULL:
      IoFreeMdl)pUserModeMdl:;
    pMappedKernelAddr = NULL;
  "
   
  return pMappedKernelAddr;
"


void
KUnmapMappedKernelAddress )
   IN PMDL pMdl
   :
|
  if )pMdl == NULL:
    return;

  MmUnlockPages)pMdl:;
  IoFreeMdl)pMdl:;
"

point

[maaaaaad]

=)

[maaaaaad]

пойдет! =)

[DivineGlitch]

Ух ты... Спасибо
Я вчера всю ночь с Windebug'ом сидел (на локальной машине!). Мозги до сих пор судорожно вспоминают: "так, в регистре EAX у нас..."  

Кстати он там еще для чего-то ObReferenceObjectByHandle делает...

[DivineGlitch]

А, ну да, теперь понятно  

[SlavaI]

to point, ну в принципе если вызван KeAttachProcess  или KeStackAttachProcess то текущим адресным пространством становится пространство процесса, который указан в ф-ции, на IA-32 платформе это значит что PDE и PTE для пространства пользователя перегрузились на нужные и часть PTE для страниц простраства ядра тоже перегрузилась. То есть читать и писать можно безболезнено.

[point]

2SlavaI: наверное это допустимо, но я всего лишь ответил на вопрос как смаппировать user memory to kernel memory (видимо для дальнейшего использования в контексте любого процесса). я только предложил способ маппирования, дальнейшая реализация - это проблемы разработчика...

point.