[求助]ZwWriteVirtualMemory写内存导致蓝屏-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 2 楼 ZwWriteVirtualMemory这个函数是个未导出的函数，你需要自己搜索在调用这个函数之前你先调试输出一下这个函数的地址看看对不对 2013-4-29 20:06 0
karlx 雪币： 140 活跃值： (125) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 130 粉丝 3 关注私信	karlx 1 3 楼亲绝对是对的因为我尝试用我动态获取到的ZwWriteVirtualMemory 去获取Nt函数的序号并且进行了对照，肯定没错。 2013-4-29 22:23 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 4 楼即使存在地址，但ZwAllocateVirtualMemory的返回值不一定是STATUS_SUCCESS。即使取得了syscall的id，但是获取的地址不一定对，WriteXXX的定义又不一定对，最后一切都ok的时候，IRQL也不一定能行。于是你的蓝屏是一种必然。 2013-4-30 11:28 0
karlx 雪币： 140 活跃值： (125) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 130 粉丝 3 关注私信	karlx 1 5 楼刚开始搞有得地方也弄不清这样写内存的话 MDL出来会靠谱一点？ 2013-4-30 13:17 0
karlx 雪币： 140 活跃值： (125) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 130 粉丝 3 关注私信	karlx 1 6 楼刚才又测试了一下 Allocate函数返回success并且给了我申请到的地址我测试用NtWriteVirtualMemory 来写内存并且在获取这个函数的时候输出了，用XT对照了一下地址没错调用完写内存，SATAUS 返回的是 C0000005 我查了一下头文件是 STATUS_ACCESS_VIOLATION 何解？ 2013-4-30 16:38 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 7 楼直接使用NT型内核函数的话：PreviousMode要修改哦，亲~~~~ 2013-4-30 17:53 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 8 楼 UserMode? 2013-4-30 18:16 0
karlx 雪币： 140 活跃值： (125) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 130 粉丝 3 关注私信	karlx 1 9 楼我换个了套路之前的那种取EPROCESS HANDLE得方法不能保证在主线程之前开始工作所以现在用的是ThreadHandle--EThread--EProcess这个路线只有在把ThreadHandle转换成EThread的时候才有Mode的参数我看了一下头文件 Kernel User Maxium 三种模式除了Kernel 其他两种直接会蓝的而且为了尽量避免错误我没用Process去操作内存而是Attach上去的在这个环境下有啥方法改Mode？ 2013-4-30 19:50 0
karlx 雪币： 140 活跃值： (125) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 130 粉丝 3 关注私信	karlx 1 10 楼你试试就知道了直接会蓝。。。 2013-4-30 19:51 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 11 楼 mdl锁定成功了再写 2013-5-28 14:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
Morgion 雪币： 608 活跃值： (648) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 2 楼 ZwWriteVirtualMemory这个函数是个未导出的函数，你需要自己搜索在调用这个函数之前你先调试输出一下这个函数的地址看看对不对 2013-4-29 20:06 0
karlx 雪币： 140 活跃值： (125) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 130 粉丝 3 关注私信	karlx 1 3 楼亲绝对是对的因为我尝试用我动态获取到的ZwWriteVirtualMemory 去获取Nt函数的序号并且进行了对照，肯定没错。 2013-4-29 22:23 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 4 楼即使存在地址，但ZwAllocateVirtualMemory的返回值不一定是STATUS_SUCCESS。即使取得了syscall的id，但是获取的地址不一定对，WriteXXX的定义又不一定对，最后一切都ok的时候，IRQL也不一定能行。于是你的蓝屏是一种必然。 2013-4-30 11:28 0
karlx 雪币： 140 活跃值： (125) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 130 粉丝 3 关注私信	karlx 1 5 楼刚开始搞有得地方也弄不清这样写内存的话 MDL出来会靠谱一点？ 2013-4-30 13:17 0
karlx 雪币： 140 活跃值： (125) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 130 粉丝 3 关注私信	karlx 1 6 楼刚才又测试了一下 Allocate函数返回success并且给了我申请到的地址我测试用NtWriteVirtualMemory 来写内存并且在获取这个函数的时候输出了，用XT对照了一下地址没错调用完写内存，SATAUS 返回的是 C0000005 我查了一下头文件是 STATUS_ACCESS_VIOLATION 何解？ 2013-4-30 16:38 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 7 楼直接使用NT型内核函数的话：PreviousMode要修改哦，亲~~~~ 2013-4-30 17:53 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 8 楼 UserMode? 2013-4-30 18:16 0
karlx 雪币： 140 活跃值： (125) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 130 粉丝 3 关注私信	karlx 1 9 楼我换个了套路之前的那种取EPROCESS HANDLE得方法不能保证在主线程之前开始工作所以现在用的是ThreadHandle--EThread--EProcess这个路线只有在把ThreadHandle转换成EThread的时候才有Mode的参数我看了一下头文件 Kernel User Maxium 三种模式除了Kernel 其他两种直接会蓝的而且为了尽量避免错误我没用Process去操作内存而是Attach上去的在这个环境下有啥方法改Mode？ 2013-4-30 19:50 0
karlx 雪币： 140 活跃值： (125) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 130 粉丝 3 关注私信	karlx 1 10 楼你试试就知道了直接会蓝。。。 2013-4-30 19:51 0
遗失灵魂雪币： 220 活跃值： (117) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 372 粉丝 0 关注私信	遗失灵魂 11 楼 mdl锁定成功了再写 2013-5-28 14:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复