[求助]64位内核ZwAllocateVirtualMemory失败-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]64位内核ZwAllocateVirtualMemory失败

发表于: 2015-4-21 23:36 8656

[求助]64位内核ZwAllocateVirtualMemory失败

xmlpull

2015-4-21 23:36

8656

定义:

NTSYSAPI NTSTATUS ZwAllocateVirtualMemory(
    HANDLE    ProcessHandle,
    PVOID     *BaseAddress,
    ULONG     ZeroBits,
    PVOID       RegionSize,
    ULONG     AllocationType,
    ULONG     Protect
    );

在 LoadImageNotifyRoutine 中

NTSTATUS Ret= null;
PVOID BaseAddress = 0;
SIZE_T size = 512;
Ret = ZwAllocateVirtualMemory(NtCurrentProcess(),
                            &BaseAddress,
                            0,
                            &size,
                            MEM_COMMIT,
                            PAGE_READWRITE
                            );
//ZwAllocateVirtualMemory 并不返回了

在进程中可以看到程序，但是程序没有任何相应，很像CREATE_SUSPENDED了。而且ZwAllocateVirtualMemory并不返回了

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・4

免费

支持

最新回复 (10)
Shadowless 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 45 粉丝 0 关注私信	Shadowless 2 楼前排支持！看大神如何解释 2015-4-22 00:27 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 3 楼这个问题本区有贴解释过的，自己找找。原因是image notify调用前当前线程已经持有进程地址空间锁；再调用需要此锁的allocatevm，就会死锁 Image notify里不要瞎敢Allocate vm或者什么改导入表注入的蠢事，实在要干可以搞个workitem干 2015-4-22 01:24 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 4 楼直接修改Lock绕过或者直接自写VM系列函数避免Lock. 或者线程，Workitem什么都行~ 2015-4-22 02:25 0
zhouws 雪币： 3162 活跃值： (1314) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 7 关注私信	zhouws 2 5 楼玩下还行吧？要是海量用户的话。。。你敢？ @kman比较有发言权。。 2015-4-22 10:51 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 6 楼硬编码够硬够全就好—— 2015-4-22 11:14 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 7 楼 ZwAllocateVirtualMemory(NtCurrentProcess(), 问题就在NtCurrentProcess()这个参数，擦干泪，不要问为什么... 2015-4-22 16:49 0
xmlpull 雪币： 99 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	xmlpull 8 楼谢谢指点。 2015-4-22 18:32 0
xmlpull 雪币： 99 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	xmlpull 9 楼谢谢老V ，修改LocK 是先用 ExReleaseFastLock 吗? 2015-4-22 18:35 0
纯情小生雪币： 736 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	纯情小生 10 楼楼主，解决这个问题了么？我现在也遇到过这个问题，x64中直接返回STATUS_COMMITMENT_LIMIT，目前没遇到死锁，x86中一切正常~ 2015-5-3 21:25 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 11 楼请问下，我在image notify里zwallocatevm 在2003 x86 sp2里可以正常工作，windows 2008 x86就死锁了，你测试的是什么系统环境？是不是在镜像加载回调里做iat hook只能用pe间隙了？ 2015-5-18 12:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xmlpull

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
Shadowless 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 45 粉丝 0 关注私信	Shadowless 2 楼前排支持！看大神如何解释 2015-4-22 00:27 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 3 楼这个问题本区有贴解释过的，自己找找。原因是image notify调用前当前线程已经持有进程地址空间锁；再调用需要此锁的allocatevm，就会死锁 Image notify里不要瞎敢Allocate vm或者什么改导入表注入的蠢事，实在要干可以搞个workitem干 2015-4-22 01:24 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 4 楼直接修改Lock绕过或者直接自写VM系列函数避免Lock. 或者线程，Workitem什么都行~ 2015-4-22 02:25 0
zhouws 雪币： 3162 活跃值： (1314) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 7 关注私信	zhouws 2 5 楼玩下还行吧？要是海量用户的话。。。你敢？ @kman比较有发言权。。 2015-4-22 10:51 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 6 楼硬编码够硬够全就好—— 2015-4-22 11:14 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 7 楼 ZwAllocateVirtualMemory(NtCurrentProcess(), 问题就在NtCurrentProcess()这个参数，擦干泪，不要问为什么... 2015-4-22 16:49 0
xmlpull 雪币： 99 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	xmlpull 8 楼谢谢指点。 2015-4-22 18:32 0
xmlpull 雪币： 99 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 62 粉丝 0 关注私信	xmlpull 9 楼谢谢老V ，修改LocK 是先用 ExReleaseFastLock 吗? 2015-4-22 18:35 0
纯情小生雪币： 736 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	纯情小生 10 楼楼主，解决这个问题了么？我现在也遇到过这个问题，x64中直接返回STATUS_COMMITMENT_LIMIT，目前没遇到死锁，x86中一切正常~ 2015-5-3 21:25 0
lzldhu 雪币： 96 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 59 粉丝 1 关注私信	lzldhu 11 楼请问下，我在image notify里zwallocatevm 在2003 x86 sp2里可以正常工作，windows 2008 x86就死锁了，你测试的是什么系统环境？是不是在镜像加载回调里做iat hook只能用pe间隙了？ 2015-5-18 12:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]64位内核ZwAllocateVirtualMemory失败

账号登录 验证码登录

账号登录

验证码登录