Может ли драйвер режима ядра выполнять ReadProcessMemory на любом процессе?

У вас есть NtReadVirtualMemory, но в режиме ядра нет версии Zw *, что означает, что вам придется искать адрес самостоятельно (с помощью KeServiceDescriptorTable будет работать, но сканирование памяти также вариант).

Имейте в виду, что если вы хотите использовать какие-либо адреса в режиме ядра, вам нужно установить PreviousMode текущего потока в 0 (KernelMode), если вы выполняете его в контексте неядерного потока ( например, в процедуре обратного вызова вы можете быть помещены в контекст другого процесса, отличного от NTOSKRNL). Это то, что подпрограммы Zw * будут делать для вас автоматически в режиме ядра, но, как я уже сказал, очевидно, что для режима NtReadVirtualMemory в режиме ядра не существует (Microsoft просто не хочет, чтобы вы использовали его, я думаю, ).

Второй подход заключается в том, чтобы привязать к контексту процесса, о котором вы хотите прочитать память, а затем положиться на MmCopyMemory (задокументировано в MSDN) для копирования памяти с адреса, действительного в процессе, к которому вы только что подключены, в ваш собственный буфер. Затем вы можете получить доступ к скопированной памяти из вашего собственного буфера. Не забудьте отделить.

Кроме того, вы можете выбрать путь, предложенный @RbMm. Лично я бы принял его предложение, потому что это документированный подход, и вы, вероятно, добьетесь большего успеха в его реализации (не говоря уже о том, что у вас будет меньше работы).

В соответствии с https://github.com/Zer0Mem0ry/KernelBhop/blob/master/Driver/Driver.c, вам нужно использовать недокументированное MmCopyVirtualMemory для чтения и записи любого процесса.

NTSTATUS NTAPI MmCopyVirtualMemory
(
PEPROCESS SourceProcess,
PVOID SourceAddress,
PEPROCESS TargetProcess,
PVOID TargetAddress,
SIZE_T BufferSize,
KPROCESSOR_MODE PreviousMode,
PSIZE_T ReturnSize
);