[求助]驱动中修改一个进程Image中的内存数据后，该进程的第二个实例也显示被修改了，是全局性的？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
Lenin 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Lenin 2 楼你把写保护关了？copy on write依赖这个的。 2011-7-13 14:28 0
HearTring 雪币： 237 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	HearTring 3 楼你的意思是本来会自动CopyOnWrite的，是因为我关了写保护才导致修改后是全局性的吗？因为改的是映像里的代码默认不可写，不关的话写不进入我用过别的实现，改后也是全局性的，代码像这样，其实我也不太理解，不知道代码是不是哪里的问题 ... pMdl = IoAllocateMdl((PVOID)pFun, sizeof(_patchcode), FALSE,FALSE,NULL); if (pMdl) { ... MmProbeAndLockPages(pMdl, UserMode, IoReadAccess); ... pWritableP = MmMapLockedPagesSpecifyCache(pMdl, UserMode, MmNonCached, NULL, FALSE, NormalPagePriority); status = MmProtectMdlSystemAddress(pMdl,PAGE_EXECUTE_READWRITE); memcpy(pWritableP, &_patchcode, sizeof(_patchcode)); MmUnmapLockedPages(pWritableP,pMdl); MmUnlockPages(pMdl); IoFreeMdl(pMdl); } 2011-7-13 15:39 0
Lenin 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Lenin 4 楼你去查一下copy on write是如何实现的，你应该用NtProtectVirtualMemory修改保护方式，这个和页的写保护不一样 2011-7-13 16:01 0
HearTring 雪币： 237 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	HearTring 5 楼 ZwProtectVirtualMemory ZwWriteVirtualMemory 要是内核有导出这两个就没这么麻烦了，偏偏都是不导出，又不想用非常规方法去搜地址 2011-7-13 17:07 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼用其它方法写，直接wpoff就把所有的都改了…… 2011-7-13 17:09 0
HearTring 雪币： 237 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	HearTring 7 楼因为要写的内存还得解决read-only的问题。你帮我看看我在3楼贴的那个代码，没有用WP off，同样也会把所有的都给改了 2011-7-13 17:16 0
Lenin 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Lenin 8 楼 3楼的差不多，都是直接改写那块物理地址，而没有备份利用ntdll.dll调用NtProtectVirtualMemory 2011-7-13 17:22 0
HearTring 雪币： 237 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	HearTring 9 楼谢谢你，在驱动里可以调用ntdll.dll的NtProtectVirtualMemory吗？内核中ZwProtectVirtualMemory没导出 2011-7-13 17:36 0
Lenin 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Lenin 10 楼 ntdll.dll每次开机后地址固定，它导出了NtProtectVirtualMemory，可以调用如果不行你可以从ntdll.dll的NtProtectVirtualMemory得到服务号，然后在ssdt中找到地址 2011-7-13 18:07 0
monsterok 雪币： 603 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 360 粉丝 0 关注私信	monsterok 3 11 楼阿弥陀佛！！！路过。。。 2011-7-13 18:52 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 12 楼我记得Mdl方法不是全局的啊，而且3楼的代码有WriteAccess吗？ 2011-7-13 23:07 0
HearTring 雪币： 237 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	HearTring 13 楼有WriteAccess啊，也确实是全局…… 看来最简单的，还得是非常规手段，取索引号，搜索代码特征找ZwProtectVirtualMemory，如果用索引号从ssdt取NtProtectVirtualMemory，Nt*这个调用起来还麻烦点，可能参数地址要处理，否则老失败。 2011-7-13 23:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
Lenin 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Lenin 2 楼你把写保护关了？copy on write依赖这个的。 2011-7-13 14:28 0
HearTring 雪币： 237 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	HearTring 3 楼你的意思是本来会自动CopyOnWrite的，是因为我关了写保护才导致修改后是全局性的吗？因为改的是映像里的代码默认不可写，不关的话写不进入我用过别的实现，改后也是全局性的，代码像这样，其实我也不太理解，不知道代码是不是哪里的问题 ... pMdl = IoAllocateMdl((PVOID)pFun, sizeof(_patchcode), FALSE,FALSE,NULL); if (pMdl) { ... MmProbeAndLockPages(pMdl, UserMode, IoReadAccess); ... pWritableP = MmMapLockedPagesSpecifyCache(pMdl, UserMode, MmNonCached, NULL, FALSE, NormalPagePriority); status = MmProtectMdlSystemAddress(pMdl,PAGE_EXECUTE_READWRITE); memcpy(pWritableP, &_patchcode, sizeof(_patchcode)); MmUnmapLockedPages(pWritableP,pMdl); MmUnlockPages(pMdl); IoFreeMdl(pMdl); } 2011-7-13 15:39 0
Lenin 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Lenin 4 楼你去查一下copy on write是如何实现的，你应该用NtProtectVirtualMemory修改保护方式，这个和页的写保护不一样 2011-7-13 16:01 0
HearTring 雪币： 237 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	HearTring 5 楼 ZwProtectVirtualMemory ZwWriteVirtualMemory 要是内核有导出这两个就没这么麻烦了，偏偏都是不导出，又不想用非常规方法去搜地址 2011-7-13 17:07 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 6 楼用其它方法写，直接wpoff就把所有的都改了…… 2011-7-13 17:09 0
HearTring 雪币： 237 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	HearTring 7 楼因为要写的内存还得解决read-only的问题。你帮我看看我在3楼贴的那个代码，没有用WP off，同样也会把所有的都给改了 2011-7-13 17:16 0
Lenin 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Lenin 8 楼 3楼的差不多，都是直接改写那块物理地址，而没有备份利用ntdll.dll调用NtProtectVirtualMemory 2011-7-13 17:22 0
HearTring 雪币： 237 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	HearTring 9 楼谢谢你，在驱动里可以调用ntdll.dll的NtProtectVirtualMemory吗？内核中ZwProtectVirtualMemory没导出 2011-7-13 17:36 0
Lenin 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	Lenin 10 楼 ntdll.dll每次开机后地址固定，它导出了NtProtectVirtualMemory，可以调用如果不行你可以从ntdll.dll的NtProtectVirtualMemory得到服务号，然后在ssdt中找到地址 2011-7-13 18:07 0
monsterok 雪币： 603 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 360 粉丝 0 关注私信	monsterok 3 11 楼阿弥陀佛！！！路过。。。 2011-7-13 18:52 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 12 楼我记得Mdl方法不是全局的啊，而且3楼的代码有WriteAccess吗？ 2011-7-13 23:07 0
HearTring 雪币： 237 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	HearTring 13 楼有WriteAccess啊，也确实是全局…… 看来最简单的，还得是非常规手段，取索引号，搜索代码特征找ZwProtectVirtualMemory，如果用索引号从ssdt取NtProtectVirtualMemory，Nt*这个调用起来还麻烦点，可能参数地址要处理，否则老失败。 2011-7-13 23:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复