[求助]内核编程时 memcpy失败。。求原因和解决方法-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]内核编程时 memcpy失败。。求原因和解决方法 0.00雪花

发表于: 2010-5-12 09:58 6123

[旧帖] [求助]内核编程时 memcpy失败。。求原因和解决方法 0.00雪花

danchuai

2010-5-12 09:58

6123

正写一个inline unhook NtOpenProcess的程序练练手
  需要将原函数被修改前五个字节改写成原来的指令（push 0xC4）
  定位到了NtOpenProcess的首地址后，就开始用memcpy进行拷贝：
（BYTE）orig_code[5] ={0x68,0xc4,0x00,0x00,0x00};
  ULONG Address = （ULONG）NtOpenProcess；

  //去除内存写保护
  memcpy((BYTE*)Address,orig_code,5)
  //恢复内存写保护
...

  用windbg调试的时候发现memcpy执行后，Address里面的内容并没有改变。。

  望高手能帮助下~

  ps.然后还有个问题，就是现在我这有一堆（几十上百个）内核函数被inline hook了，我需要全部还原的话，有没有什么模块化的方法，即批量还原的。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (2)
siz 雪币： 2 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 54 粉丝 0 关注私信	siz 2 楼 #里面没有memset相关函数 strcpy可以通过＝操作符实现， E.G: string a=""; a="12345"; memcpy可以通过Substring()方法实现 E.G: string b = a.Substring(2,2); 这个方法可以参照MSDN. 要注意的是,c#里面char数组还有string是两个完全不同的东西,这个是没有从C/C++里面继承来的 0回答者： hisan_p - 2010-5-14 02:58 0
yya 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	yya 3 楼如果address 不可写memcpy失败会BSOD吧即然没有那是不是有其它东西在写覆盖了你写的呢？或者是被保护软件拦了 2010-5-14 13:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

danchuai

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
siz 雪币： 2 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 54 粉丝 0 关注私信	siz 2 楼 #里面没有memset相关函数 strcpy可以通过＝操作符实现， E.G: string a=""; a="12345"; memcpy可以通过Substring()方法实现 E.G: string b = a.Substring(2,2); 这个方法可以参照MSDN. 要注意的是,c#里面char数组还有string是两个完全不同的东西,这个是没有从C/C++里面继承来的 0回答者： hisan_p - 2010-5-14 02:58 0
yya 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	yya 3 楼如果address 不可写memcpy失败会BSOD吧即然没有那是不是有其它东西在写覆盖了你写的呢？或者是被保护软件拦了 2010-5-14 13:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复