Windows應用層實現VmWare穿透讀寫-實現無簽名驅動加載

寫這篇，最開始是無聊。后面想想在windows三環直接操控VmWare里面WIN10的內存，這不就相當于實現了一套簡易版的windows內存解析，對學習和了解內存是非常方便的事情，甚至說對了解整個windows內核都是一個有益的事情。

因為實現這么個框架的話，我在三環就可以隨意修改內核里面的數據，去驗證和學習底層知識（如內存、注冊表、對象管理器等等），抱著這樣的目的，差不多寫了兩個星期，完成了一個簡易版的框架(DEMO)，里面的知識僅僅需要一點點C語言、匯編、PE、保護模式、windows內核方面的知識，就能了解原理。

因為里面的知識大部分都是網上有的，我只是這些代碼的搬運工然后糅合成一個工程，里面我寫了大量的注釋，讓不會的哥們也能一目了然，先上效果圖。

具體原理就直接看代碼吧，里面的注釋寫的比較完善。

0x1 效果圖(三環加載無簽名驅動，目標機：windows10 1909)

0x2 代碼注釋圖

0x3 注意事項

因為我這段時間需要準備應付面試找工作了，這個DEMO有很多未完成的地方，有可能以后會完成，有可能過了這個興趣時間，懶得寫了，有興趣的哥們可以自行完善，上面的內存解析，我只完成了部分功能(已經可以完成我目前的需求)，pagefile.sys/subsection/win10的壓縮內存解析我暫時沒寫,這個解析不難，麻煩的是需要調用VmWare的磁盤API去讀扇區然后解析NTFS，這個對于我來說，需要浪費很多時間，以后有空再寫。

所以，我走了一個捷徑：關閉win10的分頁文件，重啟！后續完成了上面的NTFS解析后再來測試這一塊。

未完成的地方，我都寫了斷點。

還有這種應用層寫內核的shellcode，編譯需要非常小心，按照下面即可，我也寫了注釋，如果不懂，你就不用動了，看那段代碼即可。