首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]这个ntdll里面的地址是不能访问的,怎么用windbg改变内存页属性让能访问呢 0.00雪花
发表于: 2014-6-28 14:35 3075

[旧帖] [求助]这个ntdll里面的地址是不能访问的,怎么用windbg改变内存页属性让能访问呢 0.00雪花

猎人猎枪 活跃值
2014-6-28 14:35
3075
这个ntdll里面的地址是不能访问的,怎么用windbg改变内存页属性让能访问呢

0:000> !address 7c980da9  
ProcessParametrs 00271348 in range 00270000 00275000
Environment 00270810 in range 00270000 00275000
    77e61000 : 77e61000 - 0788f000
                    Type     00000000
                    Protect  00000001 PAGE_NOACCESS
                    State    00010000 MEM_FREE
                    Usage    RegionUsageFree
0:000> dd        7c980da9     
7c980da9  ???????? ???????? ???????? ????????
7c980db9  ???????? ???????? ???????? ????????
7c980dc9  ???????? ???????? ???????? ????????
7c980dd9  ???????? ???????? ???????? ????????
7c980de9  ???????? ???????? ???????? ????????
7c980df9  ???????? ???????? ???????? ????????
7c980e09  ???????? ???????? ???????? ????????
7c980e19  ???????? ???????? ???????? ????????

[课程]FART 脱壳王!加量不加价!FART作者讲授!

收藏
免费 0
支持
分享
最新回复 (2)
zerokft
雪    币: 36
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
据我所知只有内存的 state 为 保留 或者 占用的情况下才能查看
State    00010000 MEM_FREE

目前属于该段内存尚未分配,所以你可能还是需要用类似 VirtualAlloc之类的函数先改变该区域的属性。

直接用windbg调用该函数可能有困难。

你可以考虑用windbg修改部分可执行代码区域插入汇编代码直接调用该api的方式来使得该区域可被查看。
2014-6-28 15:04
0
cvrock
雪    币: 1443
活跃值: (96)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
这块内存是还没分配的,怎么能访问呢,除非你来分配它。
可以通过.dvalloc命令分配,例如.dvalloc /b 7c980da9 0x1000就会从这个地址开始分配4K大小的内存,用完后可以通过.dvfree释放掉。
2014-6-28 22:02
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//