[求助]内核下如何判断一个应用层的内存是否可以读写-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]内核下如何判断一个应用层的内存是否可以读写

发表于: 2019-1-9 15:39 7168

[求助]内核下如何判断一个应用层的内存是否可以读写

Troy

2019-1-9 15:39

7168

比如有一个应用程序他的内存0x1234f0 我想在内核里面判断这个地址是否是有效的，是否可以读写。用什么函数或者方法呢

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・2

免费・0

支持

最新回复 (26) 1 2 ▶
鬼才zxy 雪币： 5270 活跃值： (3500) 能力值： ( LV7，RANK：117 ) 在线值：发帖 18 回帖 69 粉丝 133 关注私信	鬼才zxy 2 2 楼 mmisaddressvalid 2019-1-9 15:48 0
leeqwind 雪币： 190 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 1 关注私信	leeqwind 3 楼 ProbeForWrite 2019-1-9 16:00 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 98 关注私信	blindtiger 1 4 楼 create mdl 2019-1-9 16:23 0
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 5 楼 mmisaddressvalid 这个函数微软好像很不推荐用。 2019-1-9 16:50 0
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 6 楼而且这里延伸出另外一个问题，如果我调用函数判断到地址可以访问，这个时候那个地址被释放了。我再去读就会崩溃。一般这种情况怎么处理呢？ 2019-1-9 17:06 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 7 楼 __try { ProbeForRead/ProbeForWrite } 无模块的洗洗睡去吧 2019-1-9 18:11 0
万剑归宗雪币： 914 活跃值： (2288) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 8 楼大佬判断什么东西啊最后于 2019-1-9 18:49 被万剑归宗编辑，原因：没认出来是大佬 2019-1-9 18:48 0
万剑归宗雪币： 914 活跃值： (2288) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 9 楼 Troy 而且这里延伸出另外一个问题，如果我调用函数判断到地址可以访问，这个时候那个地址被释放了。我再去读就会崩溃。一般这种情况怎么处理呢？先用MDL锁住，然后再享用 2019-1-9 18:50 0
鬼才zxy 雪币： 5270 活跃值： (3500) 能力值： ( LV7，RANK：117 ) 在线值：发帖 18 回帖 69 粉丝 133 关注私信	鬼才zxy 2 10 楼 Troy 而且这里延伸出另外一个问题，如果我调用函数判断到地址可以访问，这个时候那个地址被释放了。我再去读就会崩溃。一般这种情况怎么处理呢？自己查表重映射，就没这问题了 2019-1-9 23:31 1
鬼才zxy 雪币： 5270 活跃值： (3500) 能力值： ( LV7，RANK：117 ) 在线值：发帖 18 回帖 69 粉丝 133 关注私信	鬼才zxy 2 11 楼 Troy 而且这里延伸出另外一个问题，如果我调用函数判断到地址可以访问，这个时候那个地址被释放了。我再去读就会崩溃。一般这种情况怎么处理呢？还有个办法，最近刚发现的，CheatEngine驱动代码里的noexceptions部分 2019-1-9 23:37 1
syser 雪币： 3255 活跃值： (4399) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 12 楼鬼才zxy 还有个办法，最近刚发现的，CheatEngine驱动代码里的noexceptions部分 CE的代码你会发现实际上是IDT XXX 2019-1-10 01:35 1
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 13 楼。64位下无模块的异常抛不了相对麻烦些 2019-1-10 10:13 1
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 14 楼万剑归宗先用MDL锁住，然后再享用 MDL锁住后对面进程被杀死内存还在吗 2019-1-10 10:30 0
幻冬雪币： 18 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	幻冬 15 楼 Troy MDL锁住后对面进程被杀死内存还在吗肯定不在啊，先用CE的方法(参考CE源代码写法)判断内存是否有效,然后再用过MDL锁住,然后再try， 2019-1-10 10:54 1
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 16 楼幻冬肯定不在啊，先用CE的方法(参考CE源代码写法)判断内存是否有效,然后再用过MDL锁住,然后再try，我基本上换方法了。，我没模块。try不了。。哈哈惨得很内核下就SEH异常 64位下行不通。 2019-1-10 11:24 1
万剑归宗雪币： 914 活跃值： (2288) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 17 楼 Troy 我基本上换方法了。，我没模块。try不了。。哈哈惨得很内核下就SEH异常 64位下行不通。直接物理内存PY一下，就算读写不了也不容易炸，最多找错人了 2019-1-10 11:41 1
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 18 楼大手子要的可是百万级别的读写，物理内存的话，人家的需求不够 2019-1-10 13:56 1
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 19 楼万剑归宗直接物理内存PY一下，就算读写不了也不容易炸，最多找错人了[em_1] 读物理内存每次要用那个Zw那个什么函数来着。来隐射到自己的虚拟地址，在隐射之前也得先锁内存而且锁物理内存那Mm那个函数也要try一下。我这个没模块的尴尬。 2019-1-10 14:31 1
万剑归宗雪币： 914 活跃值： (2288) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 20 楼 Troy 读物理内存每次要用那个Zw那个什么函数来着。来隐射到自己的虚拟地址，在隐射之前也得先锁内存而且锁物理内存那Mm那个函数也要try一下。我这个没模块的尴尬。路并非只有一条，我不是在说笑 2019-1-10 14:52 0
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 21 楼我自己知道的几条路多多少少有点小问题。蛋疼，主要是同步问题，。正准备去读的时候目标进程被杀很有可能 2019-1-10 16:02 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 22 楼既然是大手子那么只能告诉你注入就完事了 2019-1-10 20:48 0
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 23 楼 hzqst 既然是大手子那么只能告诉你注入就完事了注入？注入什么？ 2019-1-10 21:21 0
鬼才zxy 雪币： 5270 活跃值： (3500) 能力值： ( LV7，RANK：117 ) 在线值：发帖 18 回帖 69 粉丝 133 关注私信	鬼才zxy 2 24 楼刘铠文大手子要的可是百万级别的读写，物理内存的话，人家的需求不够物理内存做到百万级也是可以的，蓝不蓝，就看你写法了 2019-1-11 02:46 0
编程小白雪币： 441 活跃值： (995) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 25 楼自己去检查页表 2019-11-27 12:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Troy

113

发帖

243

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
鬼才zxy 雪币： 5270 活跃值： (3500) 能力值： ( LV7，RANK：117 ) 在线值：发帖 18 回帖 69 粉丝 133 关注私信	鬼才zxy 2 2 楼 mmisaddressvalid 2019-1-9 15:48 0
leeqwind 雪币： 190 活跃值： (84) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 1 关注私信	leeqwind 3 楼 ProbeForWrite 2019-1-9 16:00 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 98 关注私信	blindtiger 1 4 楼 create mdl 2019-1-9 16:23 0
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 5 楼 mmisaddressvalid 这个函数微软好像很不推荐用。 2019-1-9 16:50 0
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 6 楼而且这里延伸出另外一个问题，如果我调用函数判断到地址可以访问，这个时候那个地址被释放了。我再去读就会崩溃。一般这种情况怎么处理呢？ 2019-1-9 17:06 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 7 楼 __try { ProbeForRead/ProbeForWrite } 无模块的洗洗睡去吧 2019-1-9 18:11 0
万剑归宗雪币： 914 活跃值： (2288) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 8 楼大佬判断什么东西啊最后于 2019-1-9 18:49 被万剑归宗编辑，原因：没认出来是大佬 2019-1-9 18:48 0
万剑归宗雪币： 914 活跃值： (2288) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 9 楼 Troy 而且这里延伸出另外一个问题，如果我调用函数判断到地址可以访问，这个时候那个地址被释放了。我再去读就会崩溃。一般这种情况怎么处理呢？先用MDL锁住，然后再享用 2019-1-9 18:50 0
鬼才zxy 雪币： 5270 活跃值： (3500) 能力值： ( LV7，RANK：117 ) 在线值：发帖 18 回帖 69 粉丝 133 关注私信	鬼才zxy 2 10 楼 Troy 而且这里延伸出另外一个问题，如果我调用函数判断到地址可以访问，这个时候那个地址被释放了。我再去读就会崩溃。一般这种情况怎么处理呢？自己查表重映射，就没这问题了 2019-1-9 23:31 1
鬼才zxy 雪币： 5270 活跃值： (3500) 能力值： ( LV7，RANK：117 ) 在线值：发帖 18 回帖 69 粉丝 133 关注私信	鬼才zxy 2 11 楼 Troy 而且这里延伸出另外一个问题，如果我调用函数判断到地址可以访问，这个时候那个地址被释放了。我再去读就会崩溃。一般这种情况怎么处理呢？还有个办法，最近刚发现的，CheatEngine驱动代码里的noexceptions部分 2019-1-9 23:37 1
syser 雪币： 3255 活跃值： (4399) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 231 粉丝 8 关注私信	syser 12 楼鬼才zxy 还有个办法，最近刚发现的，CheatEngine驱动代码里的noexceptions部分 CE的代码你会发现实际上是IDT XXX 2019-1-10 01:35 1
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 13 楼。64位下无模块的异常抛不了相对麻烦些 2019-1-10 10:13 1
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 14 楼万剑归宗先用MDL锁住，然后再享用 MDL锁住后对面进程被杀死内存还在吗 2019-1-10 10:30 0
幻冬雪币： 18 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	幻冬 15 楼 Troy MDL锁住后对面进程被杀死内存还在吗肯定不在啊，先用CE的方法(参考CE源代码写法)判断内存是否有效,然后再用过MDL锁住,然后再try， 2019-1-10 10:54 1
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 16 楼幻冬肯定不在啊，先用CE的方法(参考CE源代码写法)判断内存是否有效,然后再用过MDL锁住,然后再try，我基本上换方法了。，我没模块。try不了。。哈哈惨得很内核下就SEH异常 64位下行不通。 2019-1-10 11:24 1
万剑归宗雪币： 914 活跃值： (2288) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 17 楼 Troy 我基本上换方法了。，我没模块。try不了。。哈哈惨得很内核下就SEH异常 64位下行不通。直接物理内存PY一下，就算读写不了也不容易炸，最多找错人了 2019-1-10 11:41 1
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 18 楼大手子要的可是百万级别的读写，物理内存的话，人家的需求不够 2019-1-10 13:56 1
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 19 楼万剑归宗直接物理内存PY一下，就算读写不了也不容易炸，最多找错人了[em_1] 读物理内存每次要用那个Zw那个什么函数来着。来隐射到自己的虚拟地址，在隐射之前也得先锁内存而且锁物理内存那Mm那个函数也要try一下。我这个没模块的尴尬。 2019-1-10 14:31 1
万剑归宗雪币： 914 活跃值： (2288) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 20 楼 Troy 读物理内存每次要用那个Zw那个什么函数来着。来隐射到自己的虚拟地址，在隐射之前也得先锁内存而且锁物理内存那Mm那个函数也要try一下。我这个没模块的尴尬。路并非只有一条，我不是在说笑 2019-1-10 14:52 0
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 21 楼我自己知道的几条路多多少少有点小问题。蛋疼，主要是同步问题，。正准备去读的时候目标进程被杀很有可能 2019-1-10 16:02 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 22 楼既然是大手子那么只能告诉你注入就完事了 2019-1-10 20:48 0
Troy 雪币： 18 活跃值： (2079) 能力值： ( LV4，RANK：50 ) 在线值：发帖 113 回帖 243 粉丝 1 关注私信	Troy 1 23 楼 hzqst 既然是大手子那么只能告诉你注入就完事了注入？注入什么？ 2019-1-10 21:21 0
鬼才zxy 雪币： 5270 活跃值： (3500) 能力值： ( LV7，RANK：117 ) 在线值：发帖 18 回帖 69 粉丝 133 关注私信	鬼才zxy 2 24 楼刘铠文大手子要的可是百万级别的读写，物理内存的话，人家的需求不够物理内存做到百万级也是可以的，蓝不蓝，就看你写法了 2019-1-11 02:46 0
编程小白雪币： 441 活跃值： (995) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 124 粉丝 2 关注私信	编程小白 25 楼自己去检查页表 2019-11-27 12:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复