win7 64 位能HOOK NtQueryVirtualMemory 吗？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 2 楼 NTSYSCALLAPI NTSTATUS NTAPI NtQueryVirtualMemory( IN HANDLE ProcessHandle, IN PVOID Address, IN MEMORY_INFORMATION_CLASS VirtualMemoryInformationClass, OUT PVOID VirtualMemoryInformation, IN SIZE_T Length, OUT PSIZE_T ResultLength ); 2017-8-30 12:24 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 3 楼 NTSTATUS __stdcall MyHOOK_NtQueryVirtualMemory( IN HANDLE ProcessHandle, //目标进程句柄 IN PVOID BaseAddress, //目标内存地址 IN MEMORY_INFORMATION_CLASS MemoryInformationClass, //查询内存信息的类别 OUT PVOID Buffer, //用于存储获取到的内存信息的结构地址 IN SIZE_T Length, //Buffer的最大长度 OUT PSIZE_T ResultLength OPTIONAL) //存储该函数处理返回的信息的长度的ULONG的地址 { NTSTATUS status = STATUS_SUCCESS; PEPROCESS Process; status = OdNtQueryVirtualMemory(ProcessHandle, BaseAddress, MemoryInformationClass, Buffer, Length, ResultLength); return status; } 就这样桌面右键也不正常显示。不蓝屏。 2017-8-30 12:44 0
yimingqpa 雪币： 6400 活跃值： (4160) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 498 粉丝 50 关注私信	yimingqpa 1 4 楼如果是要HOOK 这玩意隐藏模块内存，还不如直接摸模块的MMVAD. 2017-8-30 13:33 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 5 楼对付爆搜特征怎么做好。清支个招、谢谢 2017-8-30 15:06 0
ttdsxfxf 雪币： 104 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	ttdsxfxf 6 楼解决没有呢 2017-9-26 19:38 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 98 关注私信	blindtiger 1 7 楼 MEMORY_BASIC_INFORMATION Info = { 0 }; SIZE_T ReturnLength = 0; Status = ZwQueryVirtualMemory( NtCurrentProcess(), Base, MemoryBasicInformation, &Info, sizeof(MEMORY_BASIC_INFORMATION), &ReturnLength); if (NT_SUCCESS(Status)) { ZwFreeVirtualMemory( NtCurrentProcess(), &Base, &Info.RegionSize, MEM_RELEASE); } 2017-10-1 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 2 楼 NTSYSCALLAPI NTSTATUS NTAPI NtQueryVirtualMemory( IN HANDLE ProcessHandle, IN PVOID Address, IN MEMORY_INFORMATION_CLASS VirtualMemoryInformationClass, OUT PVOID VirtualMemoryInformation, IN SIZE_T Length, OUT PSIZE_T ResultLength ); 2017-8-30 12:24 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 3 楼 NTSTATUS __stdcall MyHOOK_NtQueryVirtualMemory( IN HANDLE ProcessHandle, //目标进程句柄 IN PVOID BaseAddress, //目标内存地址 IN MEMORY_INFORMATION_CLASS MemoryInformationClass, //查询内存信息的类别 OUT PVOID Buffer, //用于存储获取到的内存信息的结构地址 IN SIZE_T Length, //Buffer的最大长度 OUT PSIZE_T ResultLength OPTIONAL) //存储该函数处理返回的信息的长度的ULONG的地址 { NTSTATUS status = STATUS_SUCCESS; PEPROCESS Process; status = OdNtQueryVirtualMemory(ProcessHandle, BaseAddress, MemoryInformationClass, Buffer, Length, ResultLength); return status; } 就这样桌面右键也不正常显示。不蓝屏。 2017-8-30 12:44 0
yimingqpa 雪币： 6400 活跃值： (4160) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 498 粉丝 50 关注私信	yimingqpa 1 4 楼如果是要HOOK 这玩意隐藏模块内存，还不如直接摸模块的MMVAD. 2017-8-30 13:33 0
lg好人雪币： 158 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 60 粉丝 1 关注私信	lg好人 5 楼对付爆搜特征怎么做好。清支个招、谢谢 2017-8-30 15:06 0
ttdsxfxf 雪币： 104 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	ttdsxfxf 6 楼解决没有呢 2017-9-26 19:38 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 98 关注私信	blindtiger 1 7 楼 MEMORY_BASIC_INFORMATION Info = { 0 }; SIZE_T ReturnLength = 0; Status = ZwQueryVirtualMemory( NtCurrentProcess(), Base, MemoryBasicInformation, &Info, sizeof(MEMORY_BASIC_INFORMATION), &ReturnLength); if (NT_SUCCESS(Status)) { ZwFreeVirtualMemory( NtCurrentProcess(), &Base, &Info.RegionSize, MEM_RELEASE); } 2017-10-1 22:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

win7 64 位 能HOOK NtQueryVirtualMemory 吗？

win7 64 位能HOOK NtQueryVirtualMemory 吗？