Discussion :

[burma1984]

Bonjour,

En fait je cherche à recuperer les octets en mémoire qui se trouve apres les octes suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

2C00 0500 0100 0000 ....

Ils sont situé autour de l'adresse 0x859e1820. (se modifie à chaque fois que je redemarre l'ordi)
Je vois la valeur que je veux recupérer avec LiveKD, mais j'aimerais construire un outils qui me récupere ces octets.

Or quand je code un outils pour faire celà, j'ai une erreur, en effet, un processus utilisateur ne peut pas accéder à de la mémoire dans la partie réservé à l'OS.(à cause du "mapping")

(corrigez moi si je me trompe )

En recherchant sur le net, on m'a conseillé de coder un driver, pour pouvoir accéder à cette partie de la mémoire.
Etes vous d'accord? Est ce que ca peut fonctionner?

Autre chose si je hook un processus noyau, est ce qu'il pourrait accéder à tous l'espace noyau? Ou toujours pas à cause du mapping?

En passant je travaille sur un OS de type Windows XP sp2 ou Vista

Merci à ceux qui se pencheront dessus

[Médinoc]

Je suppose que LiveKD est bien un Debugger de Kernel (Kernel Debugger) ?

Eh bien comme un processus utilisateur n'a aucun accès direct à la mémoire du kernel, ces informations ne peuvent être obtenues que de deux façons :

• Les demander gentiment au kernel (Notamment avec les fonctions de NTDLL.DLL, plus ou moins documentées dans le DDK).
• Ou les prendre de force, et pour ça il faut faire un driver en mode kernel (Kernel-Mode Driver).

[darkvadr]

Bonjour,

En fait je cherche à recuperer les octets en mémoire qui se trouve apres les octes suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

2C00 0500 0100 0000 ....

Ils sont situé autour de l'adresse 0x859e1820. (se modifie à chaque fois que je redemarre l'ordi)
Je vois la valeur que je veux recupérer avec LiveKD, mais j'aimerais construire un outils qui me récupere ces octets.

Or quand je code un outils pour faire celà, j'ai une erreur, en effet, un processus utilisateur ne peut pas accéder à de la mémoire dans la partie réservé à l'OS.(à cause du "mapping")

(corrigez moi si je me trompe )

En recherchant sur le net, on m'a conseillé de coder un driver, pour pouvoir accéder à cette partie de la mémoire.
Etes vous d'accord? Est ce que ca peut fonctionner?

Autre chose si je hook un processus noyau, est ce qu'il pourrait accéder à tous l'espace noyau? Ou toujours pas à cause du mapping?

En passant je travaille sur un OS de type Windows XP sp2 ou Vista

Merci à ceux qui se pencheront dessus

Bon j'ai posté une réponse dans l'autre post.
Bien sur qu'un kernel driver ca marche...
Par contre tu te prépares des moments difficiles faits de BSOD...
Et personellement, j'espère que c'est pour une application maison... Enfin je veux dire si tu utilises ce genre de driver dans un prog largement diffusé tu ouvres grand la porte aux gros problemes.

Hooker du ring0, il me semble que tu ne peux le faire qu'en ring0 et c'est pas trivial. Donc driver again.

J'aimerais savoir la finalité de ton application.

[burma1984]

dans le cadre de mon stage en sécurité informatique, je cherche à récuperer des informations du noyau de Windows.
Donc en faite, si ca crach mon pc, c'est pas bien méchant, si au moins j'ai pu les recuperer
c'est ce qu'on appelle du branquinolage non
voilà, merci pour les conseils, je posterai ma solution quand je trouverai car je vais trouver et réussir , et si qqun a une idée n'hésitez pas