[求助]如何让指定内存地址不被占用，可以申请，比如0x400000-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]如何让指定内存地址不被占用，可以申请，比如0x400000

发表于: 2019-1-15 10:30 10846

[求助]如何让指定内存地址不被占用，可以申请，比如0x400000

xxyiyi

2019-1-15 10:30

10846

我的exe是运行在高空，比如0x2000000，试图在0x400000这个地方放一入一个exe。

但是VirtualAlloc(0x400000, nSize, MEM_RESERVE, PAGE_READWRITE);的时候有时成功，有时失败，返回错误码487试图访问无效的地址。

失败时分析发现这个地址已经被占用了，但是我的exe并没有申请内存的操作，可能是因为其他的dll申请了内存，占用了0x400000这个地址。

请教各位大牛如何才能让0x400000不被其他dll占用，我自己每次 VirtualAlloc（0x400000）都能成功呢？

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・3

免费・1

支持

最新回复 (22)
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 2 楼生成环境下申请内存的人千奇百怪你没法阻止别人向这个地方钦点内存如果你只是在纯净虚拟机里面玩儿，那你直接在进程创建的时候就占坑就OK了最后于 2019-1-15 10:39 被hzqst编辑，原因： 2019-1-15 10:38 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 3 楼 hzqst 生成环境下申请内存的人千奇百怪 你没法阻止别人向这个地方钦点内存如果你只是在纯净虚拟机里面玩儿，那你直接在进程创建的时候就占坑就OK了进程创建时占坑是什么意思呢？占坑的话，肯定要先进入到exe的入口才能操作吧，除非用另外一个进程来远程占坑，但是exe进入到入口点的时候，exe需要的系统DLL就已经加载了，这些个DLL里面可能就已经申请了0x400000这个地址了。 2019-1-15 10:45 0
万剑归宗雪币： 914 活跃值： (2463) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 4 楼麻烦你查一下MSDN VirtualAlloc的参数 2019-1-15 11:24 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 5 楼万剑归宗麻烦你查一下MSDN VirtualAlloc的参数[em_16] 第一个参数可以指定内存地址啊，只要是前面预留过的内存地址 2019-1-15 11:27 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 6 楼你的意思是，第一个参数不为空，第3个参数就不能是MEM_RESERVE，所以不能用VirtualAlloc来申请指定内存地址？ 2019-1-15 11:29 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 7 楼 xxyiyi 进程创建时占坑是什么意思呢？占坑的话，肯定要先进入到exe的入口才能操作吧，除非用另外一个进程来远程占坑，但是exe进入到入口点的时候，exe需要的系统DLL就已经加载了，这些个DLL里面可能就已经申 ... 我说的就是远程占坑，暂停方式拉起 2019-1-15 11:32 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 8 楼 hzqst 我说的就是远程占坑，暂停方式拉起一些壳程序肯定是没有用远程占坑的方法的，不知道他们是如何实现的 2019-1-15 11:40 0
MCYMYC 雪币： 288 活跃值： (89) 能力值： ( LV3，RANK：20 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	MCYMYC 9 楼 xxyiyi 一些壳程序肯定是没有用远程占坑的方法的，不知道他们是如何实现的[em_16] 人家都说了...暂停方式拉起,然后申请地址....不关有没有壳的事....除非他入口点就已经把地址占了(易语言软件)....但你说了是其他DLL申请的,那就不存在这个问题了 2019-1-15 12:55 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 10 楼 MCYMYC 人家都说了...暂停方式拉起,然后申请地址....不关有没有壳的事....除非他入口点就已经把地址占了(易语言软件)....但你说了是其他DLL申请的,那就不存在这个问题了这个是不关有没有壳的事，我是说加壳软件就是用我说的方法来实现的，将自己的代码放高空间运行，将需要加壳的exe放到0x400000这个地址，而且加完壳之后就一个exe,他肯定是实现了在0x400000这个地址申请空间每次都成功的，就是不知道是如何实现的 2019-1-15 14:08 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 11 楼哈哈，ls几位都在欺负你呢，lz 我敢打赌，他们都有办法，而且不止一种 2019-1-15 14:16 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 12 楼 yy虫子yy 哈哈，ls几位都在欺负你呢，lz 我敢打赌，他们都有办法，而且不止一种不至于吧 2019-1-15 14:40 0
frdGo 雪币： 47 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	frdGo 13 楼应该很简单, 就是你的exe要尽量少的依赖dll, 如果依赖也尽量选择静态链接编译, 最好是只依赖那几个核心windows dll, 它们肯定不会加载到400000, 这样的你的exe跑起来时40000地址就是空的, 这样你就可以申请那块地址了好像加过壳的程序通常不会有显式的dll依赖, 运行之后它会自己去枚举系统dll, 然后找到loadlibrary 和 getprocadd, 再修复导入表, 释放目标exe到400000然后运行 2019-1-15 16:46 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 14 楼 frdGo 应该很简单, 就是你的exe要尽量少的依赖dll, 如果依赖也尽量选择静态链接编译, 最好是只依赖那几个核心windows dll, 它们肯定不会加载到400000, 这样的你的exe跑起来时400 ... 像你说的那样做也是可以的，可以写一个只导入ntdll.dll的exe，应该就没有问题。但是我这要做的目的就是为了方便，如果每用一个API就需要去get下地址的话，那还不如换一个方式去做了 2019-1-15 18:14 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 15 楼 xxyiyi 像你说的那样做也是可以的，可以写一个只导入ntdll.dll的exe，应该就没有问题。但是我这要做的目的就是为了方便，如果每用一个API就需要去get下地址的话，那还不如换一个方式去做了[em_27] 人家13楼都已经提醒LZ了，自己想去吧，领悟不了就怨不得别人最后于 2019-1-15 23:24 被luskyc编辑，原因： 2019-1-15 23:23 0
pull 雪币： 242 活跃值： (89) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	pull 1 16 楼不是直接加一个section对应的VirtualAddress在0x400000就可以了吗？ 2019-1-18 08:44 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 17 楼 pull 不是直接加一个section对应的VirtualAddress在0x400000就可以了吗？没有听懂你说的什么意思呢，0x400000地址已经被占用了，我没有办法去操作这个地址 2019-1-21 17:08 0
清风qfccc 雪币： 305 活跃值： (403) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 18 粉丝 4 关注私信	清风qfccc 18 楼楼主解决没同遇到这个问题了 2020-4-5 21:31 0
肱桡鸡雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 2 关注私信	肱桡鸡 19 楼我的解决思路：https://bbs.pediy.com/thread-268594.htm 2021-7-26 18:20 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 20 楼清风qfccc 楼主解决没同遇到这个问题了解决了，就是先将400000这个位置占住 2021-8-11 16:04 0
杰克王雪币： 183 活跃值： (2427) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 63 粉丝 56 关注私信	杰克王 21 楼在弄一个空的exe（占坑 0x400000），导入表注入你的dll，运行exe即可占坑这个位置 2021-8-11 17:24 0
气旋雪币： 178 活跃值： (391) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	气旋 22 楼 xxyiyi 解决了，就是先将400000这个位置占住请问楼主用什么方式占住的呢？是创建一个空壳进程占住，然后替换他是吗？ 2022-4-12 10:35 0
逆向爱好者雪币： 1545 活跃值： (4598) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 172 粉丝 22 关注私信	逆向爱好者 23 楼就不能想过不一定要申请这个地址吗 2023-3-25 14:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xxyiyi

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 2 楼生成环境下申请内存的人千奇百怪你没法阻止别人向这个地方钦点内存如果你只是在纯净虚拟机里面玩儿，那你直接在进程创建的时候就占坑就OK了最后于 2019-1-15 10:39 被hzqst编辑，原因： 2019-1-15 10:38 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 3 楼 hzqst 生成环境下申请内存的人千奇百怪 你没法阻止别人向这个地方钦点内存如果你只是在纯净虚拟机里面玩儿，那你直接在进程创建的时候就占坑就OK了进程创建时占坑是什么意思呢？占坑的话，肯定要先进入到exe的入口才能操作吧，除非用另外一个进程来远程占坑，但是exe进入到入口点的时候，exe需要的系统DLL就已经加载了，这些个DLL里面可能就已经申请了0x400000这个地址了。 2019-1-15 10:45 0
万剑归宗雪币： 914 活跃值： (2463) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 4 楼麻烦你查一下MSDN VirtualAlloc的参数 2019-1-15 11:24 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 5 楼万剑归宗麻烦你查一下MSDN VirtualAlloc的参数[em_16] 第一个参数可以指定内存地址啊，只要是前面预留过的内存地址 2019-1-15 11:27 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 6 楼你的意思是，第一个参数不为空，第3个参数就不能是MEM_RESERVE，所以不能用VirtualAlloc来申请指定内存地址？ 2019-1-15 11:29 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 7 楼 xxyiyi 进程创建时占坑是什么意思呢？占坑的话，肯定要先进入到exe的入口才能操作吧，除非用另外一个进程来远程占坑，但是exe进入到入口点的时候，exe需要的系统DLL就已经加载了，这些个DLL里面可能就已经申 ... 我说的就是远程占坑，暂停方式拉起 2019-1-15 11:32 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 8 楼 hzqst 我说的就是远程占坑，暂停方式拉起一些壳程序肯定是没有用远程占坑的方法的，不知道他们是如何实现的 2019-1-15 11:40 0
MCYMYC 雪币： 288 活跃值： (89) 能力值： ( LV3，RANK：20 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	MCYMYC 9 楼 xxyiyi 一些壳程序肯定是没有用远程占坑的方法的，不知道他们是如何实现的[em_16] 人家都说了...暂停方式拉起,然后申请地址....不关有没有壳的事....除非他入口点就已经把地址占了(易语言软件)....但你说了是其他DLL申请的,那就不存在这个问题了 2019-1-15 12:55 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 10 楼 MCYMYC 人家都说了...暂停方式拉起,然后申请地址....不关有没有壳的事....除非他入口点就已经把地址占了(易语言软件)....但你说了是其他DLL申请的,那就不存在这个问题了这个是不关有没有壳的事，我是说加壳软件就是用我说的方法来实现的，将自己的代码放高空间运行，将需要加壳的exe放到0x400000这个地址，而且加完壳之后就一个exe,他肯定是实现了在0x400000这个地址申请空间每次都成功的，就是不知道是如何实现的 2019-1-15 14:08 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 11 楼哈哈，ls几位都在欺负你呢，lz 我敢打赌，他们都有办法，而且不止一种 2019-1-15 14:16 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 12 楼 yy虫子yy 哈哈，ls几位都在欺负你呢，lz 我敢打赌，他们都有办法，而且不止一种不至于吧 2019-1-15 14:40 0
frdGo 雪币： 47 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	frdGo 13 楼应该很简单, 就是你的exe要尽量少的依赖dll, 如果依赖也尽量选择静态链接编译, 最好是只依赖那几个核心windows dll, 它们肯定不会加载到400000, 这样的你的exe跑起来时40000地址就是空的, 这样你就可以申请那块地址了好像加过壳的程序通常不会有显式的dll依赖, 运行之后它会自己去枚举系统dll, 然后找到loadlibrary 和 getprocadd, 再修复导入表, 释放目标exe到400000然后运行 2019-1-15 16:46 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 14 楼 frdGo 应该很简单, 就是你的exe要尽量少的依赖dll, 如果依赖也尽量选择静态链接编译, 最好是只依赖那几个核心windows dll, 它们肯定不会加载到400000, 这样的你的exe跑起来时400 ... 像你说的那样做也是可以的，可以写一个只导入ntdll.dll的exe，应该就没有问题。但是我这要做的目的就是为了方便，如果每用一个API就需要去get下地址的话，那还不如换一个方式去做了 2019-1-15 18:14 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 15 楼 xxyiyi 像你说的那样做也是可以的，可以写一个只导入ntdll.dll的exe，应该就没有问题。但是我这要做的目的就是为了方便，如果每用一个API就需要去get下地址的话，那还不如换一个方式去做了[em_27] 人家13楼都已经提醒LZ了，自己想去吧，领悟不了就怨不得别人最后于 2019-1-15 23:24 被luskyc编辑，原因： 2019-1-15 23:23 0
pull 雪币： 242 活跃值： (89) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	pull 1 16 楼不是直接加一个section对应的VirtualAddress在0x400000就可以了吗？ 2019-1-18 08:44 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 17 楼 pull 不是直接加一个section对应的VirtualAddress在0x400000就可以了吗？没有听懂你说的什么意思呢，0x400000地址已经被占用了，我没有办法去操作这个地址 2019-1-21 17:08 0
清风qfccc 雪币： 305 活跃值： (403) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 18 粉丝 4 关注私信	清风qfccc 18 楼楼主解决没同遇到这个问题了 2020-4-5 21:31 0
肱桡鸡雪币： 43 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 7 粉丝 2 关注私信	肱桡鸡 19 楼我的解决思路：https://bbs.pediy.com/thread-268594.htm 2021-7-26 18:20 0
xxyiyi 雪币： 337 活跃值： (641) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 46 粉丝 4 关注私信	xxyiyi 20 楼清风qfccc 楼主解决没同遇到这个问题了解决了，就是先将400000这个位置占住 2021-8-11 16:04 0
杰克王雪币： 183 活跃值： (2427) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 63 粉丝 56 关注私信	杰克王 21 楼在弄一个空的exe（占坑 0x400000），导入表注入你的dll，运行exe即可占坑这个位置 2021-8-11 17:24 0
气旋雪币： 178 活跃值： (391) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	气旋 22 楼 xxyiyi 解决了，就是先将400000这个位置占住请问楼主用什么方式占住的呢？是创建一个空壳进程占住，然后替换他是吗？ 2022-4-12 10:35 0
逆向爱好者雪币： 1545 活跃值： (4598) 能力值： ( LV3，RANK：20 ) 在线值：发帖 29 回帖 172 粉丝 22 关注私信	逆向爱好者 23 楼就不能想过不一定要申请这个地址吗 2023-3-25 14:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复