[求助]新手求助，第12章ProcessNotifyInject例子在win7 64位上运行不了-《加密与解密(第4版)》-看雪-安全社区|安全招聘|kanxue.com

[求助]新手求助，第12章ProcessNotifyInject例子在win7 64位上运行不了

发表于: 2019-12-3 17:07 2556

[求助]新手求助，第12章ProcessNotifyInject例子在win7 64位上运行不了

helloDalao 活跃值

2019-12-3 17:07

2556

求助一下各位大佬，新手学加密与解密系列，第12章ProcessNotifyInject例子在R0上32位系统上可以注入，到了64位系统修改了 NtTestAlert入口之后进程就自动退出了，也就是打不开目标程序，不修改的话就正常，又没有任何错误显示，所以也不懂怎么调试，真的是难倒新手了，各位大佬知道是怎么回事吗，非常感谢了

下面是在Dbgview上的信息：

ParentId = 1180 ProcessId = 2960 当前动作：进程创建

目标进程正在创建，准备注入!

目标进程不是 Wow64 进程!

Allocated Mem = 0x0000000000030000

ntdll.dll Base = 0x0000000077AC0000

ZwTestAlert = 0x0000000077B2B0B0

ZwTestAlert 页属性修改成功! OldProtect = 0x20

[*] Shellcode Len = 178

[*] Before WriteCode , AddrOfNtTestAlert = 0000000077B2B0B0

[*] Write Code To NtTestAlert OK.

向进程 notepad.exe 插入ShellCode成功!

ParentId = 1180 ProcessId = 2960 当前动作：进程退出

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・1

支持

最新回复 (3)
helloDalao 雪币： 338 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 2 关注私信	helloDalao 2 楼难道就我一个人遇到这种问题吗 2019-12-3 17:29 0
kinghzking 雪币： 4128 活跃值： (869) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 73 粉丝 26 关注私信	kinghzking 3 楼绕过MmVerifyCallbackFunction 2019-12-3 19:01 0
helloDalao 雪币： 338 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 2 关注私信	helloDalao 4 楼 kinghzking 绕过MmVerifyCallbackFunction 书上讲在64位系统上测试通过，能说一下为什么要绕过MmVerifyCallbackFunction吗？不知道怎么跟踪到这个函数 2019-12-3 19:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

helloDalao

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
helloDalao 雪币： 338 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 2 关注私信	helloDalao 2 楼难道就我一个人遇到这种问题吗 2019-12-3 17:29 0
kinghzking 雪币： 4128 活跃值： (869) 能力值： ( LV5，RANK：70 ) 在线值：发帖 22 回帖 73 粉丝 26 关注私信	kinghzking 3 楼绕过MmVerifyCallbackFunction 2019-12-3 19:01 0
helloDalao 雪币： 338 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 28 粉丝 2 关注私信	helloDalao 4 楼 kinghzking 绕过MmVerifyCallbackFunction 书上讲在64位系统上测试通过，能说一下为什么要绕过MmVerifyCallbackFunction吗？不知道怎么跟踪到这个函数 2019-12-3 19:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复