Вопрос X64 driver write memory in x32 process

RedStar · 17 Авг 2023

Представим ситуацию. У меня есть драйвер, который умеет выделять память в процессе, писать в него память и считывать память.
Сам .sys файл собран x64. Загружается он с помощью kdmapper, который тоже x64.
После, я хочу используя драйвер сделать маппер для ксго, которая х32.
Я смогу делая вызовы из х64 драйвера записать нормально память дллки в ксго чтоб она работала или где-то на какой-то стадии возникнет проблема х64 и х32?

addomel · 18 Авг 2023

RedStar написал(а):
Представим ситуацию. У меня есть драйвер, который умеет выделять память в процессе, писать в него память и считывать память.
Сам .sys файл собран x64. Загружается он с помощью kdmapper, который тоже x64.
После, я хочу используя драйвер сделать маппер для ксго, которая х32.
Я смогу делая вызовы из х64 драйвера записать нормально память дллки в ксго чтоб она работала или где-то на какой-то стадии возникнет проблема х64 и х32?

у тебя будет несостыковка x86 и x64 архитектур, в ксго нужно инжектить с помощью x86 приложения

OXXXYMlRON · 18 Авг 2023

addomel написал(а):
у тебя будет несостыковка x86 и x64 архитектур, в ксго нужно инжектить с помощью x86 приложения

о какой ты, блядь, несостыковке? из х64 можно замечательно мапить память куда моей душе угодно; другой вопрос что в любой момент времени вак может спросить "а почему в моем регионе тусуется тхреад который не линкнут к памяти...", но это уже другая история.

писать в память ты можешь. работать с памятью ты можешь. работай.

RedStar · 18 Авг 2023

Maybe Baby написал(а):
о какой ты, блядь, несостыковке? из х64 можно замечательно мапить память куда моей душе угодно; другой вопрос что в любой момент времени вак может спросить "а почему в моем регионе тусуется тхреад который не линкнут к памяти...", но это уже другая история.

писать в память ты можешь. работать с памятью ты можешь. работай.

и еще глупый вопрос. Я видел в инете кучу маппером, например

Пожалуйста, авторизуйтесь для просмотра ссылки.

и

Пожалуйста, авторизуйтесь для просмотра ссылки.

, я заметил что они мапят не так как мануал мап инжекторы, например

Пожалуйста, авторизуйтесь для просмотра ссылки.

. В нем есть поправка на систему, х64 или х32, получается последний от круза по-разному мапит 64 и 32 дллки. А первые два которые я показал, они одинаково работают и с теми и с другими? они я вижу работают отдельно через импорты, релокейтят и т.д., они могут мапить как 32 длл в 32 процесс так и 64 длл в 64 процесс, не меняя ничего в коде мапа, он подходит и для тех и для других? (понятно, что само приложение мапера должно быть х64)

OXXXYMlRON · 18 Авг 2023

RedStar написал(а):
и еще глупый вопрос. Я видел в инете кучу маппером, например
Пожалуйста, авторизуйтесь для просмотра ссылки.
и
Пожалуйста, авторизуйтесь для просмотра ссылки.
, я заметил что они мапят не так как мануал мап инжекторы, например
Пожалуйста, авторизуйтесь для просмотра ссылки.
. В нем есть поправка на систему, х64 или х32, получается последний от круза по-разному мапит 64 и 32 дллки. А первые два которые я показал, они одинаково работают и с теми и с другими? они я вижу работают отдельно через импорты, релокейтят и т.д., они могут мапить как 32 длл в 32 процесс так и 64 длл в 64 процесс, не меняя ничего в коде мапа, он подходит и для тех и для других? (понятно, что само приложение мапера должно быть х64)

для начала ты можешь попробовать банально получить пе хедер->characteristics->image_file_32bit_machine для детерменнированного определения типа запущенного бинаря :)

RedStar · 18 Авг 2023

Maybe Baby написал(а):
для начала ты можешь попробовать банально получить пе хедер->characteristics->image_file_32bit_machine для детерменнированного определения типа запущенного бинаря :)

Просто я собираюсь использовать примеры из первых 2х ссылок с мапперами, которые не проверяют битность, потому и спрашиваю. Они просто универсальны и им не важно какая битность дллки и процесса, как дашь так и сделает (ну очевидно, что битность процесса и дллки должны совпадать) или они все таки сделаны под х32 например но просто нигде не указано, считая х32 по умолчанию

Trich1337 · 18 Авг 2023

addomel написал(а):
у тебя будет несостыковка x86 и x64 архитектур, в ксго нужно инжектить с помощью x86 приложения

у меня есть 3 яблока в первой корзине, и 6 яблок во второй. в первой корзине имеется 6 яблок? ответ: нет. Во второй корзине имеется 3 яблока? ответ: да. Думай.

RedStar · 19 Авг 2023

RedStar написал(а):
Просто я собираюсь использовать примеры из первых 2х ссылок с мапперами, которые не проверяют битность, потому и спрашиваю. Они просто универсальны и им не важно какая битность дллки и процесса, как дашь так и сделает (ну очевидно, что битность процесса и дллки должны совпадать) или они все таки сделаны под х32 например но просто нигде не указано, считая х32 по умолчанию

Ну так?

Receiver · 11 Сен 2023

Trich1337 написал(а):
у меня есть 3 яблока в первой корзине, и 6 яблок во второй. в первой корзине имеется 6 яблок? ответ: нет. Во второй корзине имеется 3 яблока? ответ: да. Думай.

бля, харош ахахахха. я бы лайк ебанул, но масть не позволяет