[原创]关于非法内存访问的蓝品的一个“补丁”-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]关于非法内存访问的蓝品的一个“补丁”

发表于: 2013-4-12 21:10 13755

[原创]关于非法内存访问的蓝品的一个“补丁”

cvcvxk

2013-4-12 21:10

13755

我们都知道在某些情况下访问内存会蓝屏，所以我们可以用SEH~~

但是在内核环境下，不是所有的情况都可以完美走入我们的SEH~~

于是操起神器IDA和Windbg,我们分析得到：每次mmAccessFault要毁灭宇宙的时候都要调用KeInvalidAccessAllowed(x)这么个神奇的东西看看是否让毁灭~

然后patch一下当ecx==null时返回eax=1 （ecx!=0时，则是一个PKTRAP_FRAME，需要对比的说...）发现对XX的访问时，会弹出SEH了~这就真的哦了~至于地址，从pagefault一路搜索过去（用个反汇编引擎就ok了）

无码还是有码，这是一个问题——有时间补上吧~~
补上一下某物的原型，此法在winxp-win8的32位测试ok~~至于x64,呵呵那是个需要老实干活的地方。

BOOLEAN
FASTCALL
KeInvalidAccessAllowed (
    __in_opt PVOID TrapInformation
    );

最后宣传一下我的网站：http://www.tigso.com/index.html

我现在做培训了，希望各位支持。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・6

支持

最新回复 (31) 1 2 ▶
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 2 楼抢沙发啊！！！ 2013-4-12 21:14 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 3 楼果断支持V校。。。。。。。。。。。。。。 2013-4-12 21:47 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 4 楼 V校创业了啊？？？？？？？ 2013-4-12 21:48 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 5 楼开始建立音忍村~ 2013-4-12 21:49 0
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 6 楼人柱力来了。。。 2013-4-12 21:53 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 7 楼恭喜恭喜啊。。。。。还真让我在QQ上说中了。。。。。。。 2013-4-12 21:54 0
wmbol 雪币： 2120 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 302 粉丝 1 关注私信	wmbol 1 8 楼前排仰慕大牛 2013-4-12 21:56 0
bUgmAny 雪币： 84 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 107 粉丝 0 关注私信	bUgmAny 9 楼马克收藏。。。。每年蓝屏可以饶地球好几圈。。 2013-4-12 22:16 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 10 楼不知道大牛是不是按照这种方法找那个地址的 CcCopyRead ====>_MmCheckCachedPageState===>_MmAccessFault==>KeInvalidAccessAllowed 2013-4-12 22:44 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 11 楼还有就是各种操作系统的特征码是否一样 2013-4-12 22:45 0
囧囧雪币： 284 活跃值： (3389) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 335 粉丝 13 关注私信	囧囧 12 楼【转】原始昵称：vxk,又名killvxk 安全业界喜欢称为“老V”，别人也喜欢称呼“V校”，是国内外都很著名的Windows内核开发高手。十年前活跃于国内著名病毒技术论坛CVC，是国内知名的病毒技术专家。对操作系统内核以及编程，逆向，破解非常精通。被很多人称为：技术全能专家。曾出现在网络流传的所谓的“顶级黑客名单”上。经常活跃在国内外各大知名内核开发论坛，连老外也经常提及老V这样的称呼。发表很多技术文章，公开了不少经典的内核代码程序，并带领了很多内核开发新手。 2013-4-12 22:46 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 13 楼来围观一下，mark了 2013-4-12 22:55 0
vienna 雪币： 217 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	vienna 14 楼 v校复活了初代到四代火影 2013-4-12 23:08 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 15 楼 IDT->KiTrap0E->MmAccessFault-->KeInvalidAccessAllowed 2013-4-13 00:43 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 16 楼 2013-4-13 00:45 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 17 楼培训，可以旁听吗？ 2013-4-13 01:55 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 18 楼你说呢？ 2013-4-13 03:20 0
xouou 雪币： 90 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 1075 粉丝 1 关注私信	xouou 19 楼潜力贴留名.Opera插图补丁.颜色补丁.字数补丁.. 2013-4-13 08:52 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 20 楼看来只有小绿能免费旁听了。 2013-4-13 10:25 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 21 楼老V又搞培训了 2013-4-13 12:40 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 22 楼这次正规，专业。 2013-4-13 13:30 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 23 楼 1000元一小时,抢劫啊,一个小时能学到什么啊？ 2013-4-13 14:02 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 24 楼某培训教学的JAVA在线专家一小时收费700，你不知道么。我们进行的咨询是高端服务，培训不是在线咨询，请分清楚。 2013-4-13 14:10 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 25 楼只能啃青草了…… 2013-4-13 19:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

[分享]很有时间系列：不用inf安装ndis filter驱动 14987

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 2 楼抢沙发啊！！！ 2013-4-12 21:14 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 3 楼果断支持V校。。。。。。。。。。。。。。 2013-4-12 21:47 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 4 楼 V校创业了啊？？？？？？？ 2013-4-12 21:48 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 5 楼开始建立音忍村~ 2013-4-12 21:49 0
evilor 雪币： 297 活跃值： (235) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 6 楼人柱力来了。。。 2013-4-12 21:53 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 7 楼恭喜恭喜啊。。。。。还真让我在QQ上说中了。。。。。。。 2013-4-12 21:54 0
wmbol 雪币： 2120 活跃值： (73) 能力值： ( LV4，RANK：50 ) 在线值：发帖 15 回帖 302 粉丝 1 关注私信	wmbol 1 8 楼前排仰慕大牛 2013-4-12 21:56 0
bUgmAny 雪币： 84 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 107 粉丝 0 关注私信	bUgmAny 9 楼马克收藏。。。。每年蓝屏可以饶地球好几圈。。 2013-4-12 22:16 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 10 楼不知道大牛是不是按照这种方法找那个地址的 CcCopyRead ====>_MmCheckCachedPageState===>_MmAccessFault==>KeInvalidAccessAllowed 2013-4-12 22:44 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 11 楼还有就是各种操作系统的特征码是否一样 2013-4-12 22:45 0
囧囧雪币： 284 活跃值： (3389) 能力值： ( LV5，RANK：75 ) 在线值：发帖 69 回帖 335 粉丝 13 关注私信	囧囧 12 楼【转】原始昵称：vxk,又名killvxk 安全业界喜欢称为“老V”，别人也喜欢称呼“V校”，是国内外都很著名的Windows内核开发高手。十年前活跃于国内著名病毒技术论坛CVC，是国内知名的病毒技术专家。对操作系统内核以及编程，逆向，破解非常精通。被很多人称为：技术全能专家。曾出现在网络流传的所谓的“顶级黑客名单”上。经常活跃在国内外各大知名内核开发论坛，连老外也经常提及老V这样的称呼。发表很多技术文章，公开了不少经典的内核代码程序，并带领了很多内核开发新手。 2013-4-12 22:46 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 13 楼来围观一下，mark了 2013-4-12 22:55 0
vienna 雪币： 217 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 119 粉丝 0 关注私信	vienna 14 楼 v校复活了初代到四代火影 2013-4-12 23:08 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 15 楼 IDT->KiTrap0E->MmAccessFault-->KeInvalidAccessAllowed 2013-4-13 00:43 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 16 楼 2013-4-13 00:45 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 17 楼培训，可以旁听吗？ 2013-4-13 01:55 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 18 楼你说呢？ 2013-4-13 03:20 0
xouou 雪币： 90 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 1075 粉丝 1 关注私信	xouou 19 楼潜力贴留名.Opera插图补丁.颜色补丁.字数补丁.. 2013-4-13 08:52 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 20 楼看来只有小绿能免费旁听了。 2013-4-13 10:25 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 21 楼老V又搞培训了 2013-4-13 12:40 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 22 楼这次正规，专业。 2013-4-13 13:30 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 23 楼 1000元一小时,抢劫啊,一个小时能学到什么啊？ 2013-4-13 14:02 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 24 楼某培训教学的JAVA在线专家一小时收费700，你不知道么。我们进行的咨询是高端服务，培训不是在线咨询，请分清楚。 2013-4-13 14:10 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 25 楼只能啃青草了…… 2013-4-13 19:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复