[求助]内核的ZwProtectVirtualMemory怎么使用, 总是失败-求助问答-看雪-安全社区|安全招聘|kanxue.com

[求助]内核的ZwProtectVirtualMemory怎么使用, 总是失败

2020-5-10 02:17 9394

[求助]内核的ZwProtectVirtualMemory怎么使用, 总是失败

AngelBeats丶活跃值

2020-5-10 02:17

9394

// 进程_修改内存属性(目标进程ID, 目标进程的地址, 内存大小, 内存
ULONG process_MemProtect(ULONG64 pid, PVOID addr, ULONG size, ULONG protect) {

typedef NTSTATUS(*pZwProtectVirtualMemory)(HANDLE ProcessHandle, PVOID* BaseAddress, PULONG ProtectSize, ULONG NewProtect, PULONG OldProtect);
pZwProtectVirtualMemory ZwProtectVirtualMemory = (pZwProtectVirtualMemory)((UINT64)ZwWaitForSingleObject + 0x20 * (0x4d - 1));


//    根据pid获取PEPROCESS
PEPROCESS process = NULL;
PsLookupProcessByProcessId((HANDLE)pid, &process);

ULONG OldProtect = 0;
KAPC_STATE apc_state;
memset(&apc_state, 0, sizeof(apc_state));
//    附加来切换到目标进程()
KeStackAttachProcess(process, &apc_state);
//    判断目标地址的数据是否有效()
if (MmIsAddressValid(addr) == TRUE) {
    NTSTATUS status = ZwProtectVirtualMemory((HANDLE)-1, &addr, &size, protect, &OldProtect);
    if (!NT_SUCCESS(status)) {
        KdPrint(("status = %08X\n", status));
        return 0;
    }
}
//    切换到原进程()
KeUnstackDetachProcess(&apc_state);
//    引用计数-1
ObDereferenceObject(process);
return OldProtect;

}

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

收藏・0

点赞・0

打赏

最新回复 (12)
mb_tiqapxsm 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	mb_tiqapxsm 2020-5-10 09:43 2 楼 0 push ebp mov ebp, esp ebp=esp push 0FFFFFFFFh ebp-4 push offset sub_401C80 ebp-8 mov eax, large fs:0 push eax ebp-c sub esp, 0Ch ebp-18 push ebx ebp-1c push esi ebp-20 push edi ebp-24 mov eax, ___security_cookie xor eax, ebp push eax ebp-28 lea eax, [var_C] eax=add:fs:0 mov large fs:0, eax fs:0=add:fs:0 mov [var_10], esp ebp-10=esp push offset unk_402630 ebp-2c lea eax, [var_14] mov [var_4], 0 push eax mov [var_14], offset aError ; "error" call _CxxThrowException mov eax, offset loc_40104D retn
mb_tiqapxsm 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	mb_tiqapxsm 2020-5-10 09:43 3 楼 0 push ebp mov ebp, esp ebp=esp push 0FFFFFFFFh ebp-4 push offset sub_401C80 ebp-8 mov eax, large fs:0 push eax ebp-c sub esp, 0Ch ebp-18 push ebx ebp-1c push esi ebp-20 push edi ebp-24 mov eax, ___security_cookie xor eax, ebp push eax ebp-28 lea eax, [var_C] eax=add:fs:0 mov large fs:0, eax fs:0=add:fs:0 mov [var_10], esp ebp-10=esp push offset unk_402630 ebp-2c lea eax, [var_14] mov [var_4], 0 push eax mov [var_14], offset aError ; "error" call _CxxThrowException mov eax, offset loc_40104D retn 请问我这样分析对不对
柒雪天尚雪币： 182 活跃值： (576) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 332 粉丝 4 关注私信	柒雪天尚 2020-5-10 10:11 4 楼 0 SIZE_T regionSize; regionSize = sizeof(UCHAR); status = ZwProtectVirtualMemory(NtCurrentProcess(), &baseAddress, &regionSize, PAGE_EXECUTE_READWRITE, &oldProtection);
AngelBeats丶雪币： 173 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 9 粉丝 0 关注私信	AngelBeats丶 2020-5-10 12:20 5 楼 0 柒雪天尚 SIZE_T regionSize; regionSize = sizeof(UCHAR); status = ZwProtectVirtualMemory(NtC ... 不行啊虽然成功了, 但是并没有修改属性 process_MemProtect(pid, 0x40000, 4, PAGE_NOACCESS); 0x40000这个数据我用CE看, 还是能看到数据
AngelBeats丶雪币： 173 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 9 粉丝 0 关注私信	AngelBeats丶 2020-5-10 12:21 6 楼 0 mb_tiqapxsm push ebp mov ebp, esp ebp=esp push 0FFFFFFFFh ebp-4 push ... ??? 没看懂, 我是想成功调用ZwProtectVirtualMemory(), 我用R3层的ProtectVirtualMemory()函数就没问题, 但是用内核的就不成功
luskyc 雪币： 248 活跃值： (3774) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2020-5-10 17:44 7 楼 0 因为是KeStackAttachProcess附加所以要OpenProcess用PROCESS_ALL_ACCESS，传给ZwProtectVirtualMemory，而不是-1
Boring勇哥雪币： 4119 活跃值： (1500) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 77 粉丝 5 关注私信	Boring勇哥 2020-5-10 18:05 8 楼 0 AngelBeats丶不行啊虽然成功了, 但是并没有修改属性 process_MemProtect(pid, 0x40000, 4, PAGE_NOACCESS); 0x40000这个数据我用CE看, 还是能看到数 ... CE可能在读取数据之前修改过内存的保护属性...建议过滤NtProtectVirtualMemory和NtReadVirtualMemory,让CE无法读取内存和修改内存保护
AngelBeats丶雪币： 173 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 9 粉丝 0 关注私信	AngelBeats丶 2020-5-10 19:40 9 楼 0 Boring勇哥 CE可能在读取数据之前修改过内存的保护属性...建议过滤NtProtectVirtualMemory和NtReadVirtualMemory,让CE无法读取内存和修改内存保护我用R3层的ProtectVirtualMemory()函数, 修改PAGE_NOACCESS调用完后, 用CE看内存, 看到的是?? 也说明了R3层调用成功了但是我用R0的NtReadVirtualMemory()函数, 修改PAGE_NOACCESS调用完后, 用CE看内存, 还是能看到数值, 而且返回值是C00000F1、C0000005等等
AngelBeats丶雪币： 173 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 9 粉丝 0 关注私信	AngelBeats丶 2020-5-10 19:41 10 楼 0 yy虫子yy 因为是KeStackAttachProcess附加所以要OpenProcess用PROCESS_ALL_ACCESS，传给ZwProtectVirtualMemory，而不是-1 我用了NtOpenProcess()函数打开进程的, 虽然不会蓝屏, 但是还是没有修改属性, 我用CE还是能看到数值, 正常来说修改PAGE_NOACCESS属性后, CE看到是??
AngelBeats丶雪币： 173 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 9 粉丝 0 关注私信	AngelBeats丶 2020-5-11 22:23 11 楼 1 看返回值查到原因了, 应该是系统页面方式问题, 用其他虚拟机测试可以用
逆向爱好者雪币： 907 活跃值： (3454) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 108 粉丝 17 关注私信	逆向爱好者 2023-3-30 00:04 12 楼 0 AngelBeats丶看返回值查到原因了, 应该是系统页面方式问题, 用其他虚拟机测试可以用 r3都能修改了，ce看不到，r0还比r3权限低么，肯定是代码写错了
wx_nking 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_nking 4天前 13 楼 0 不能改内核地址
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

AngelBeats丶

发帖

回帖

RANK

关注

私信

他的文章

[求助]内核怎么使用NtCreateThread创建一个用户层的线程

NtProtectVirtualMemory和Zw函数, 返回STATUS_CONFLICTING_ADDRESSES

[求助]内核的ZwProtectVirtualMemory怎么使用, 总是失败

[求助]E5的CPU无法开启VT(非得关闭EPT才行), __vmx_vmlaunch()失败, vmx_read(VM_INSTRUCTION_ERROR)返回7, 但是在I7, I5等I系列CPU可以使用

[求助]VT虚拟化技术问题, E5的cpu, __vmx_on()返回1

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
mb_tiqapxsm 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	mb_tiqapxsm 2020-5-10 09:43 2 楼 0 push ebp mov ebp, esp ebp=esp push 0FFFFFFFFh ebp-4 push offset sub_401C80 ebp-8 mov eax, large fs:0 push eax ebp-c sub esp, 0Ch ebp-18 push ebx ebp-1c push esi ebp-20 push edi ebp-24 mov eax, ___security_cookie xor eax, ebp push eax ebp-28 lea eax, [var_C] eax=add:fs:0 mov large fs:0, eax fs:0=add:fs:0 mov [var_10], esp ebp-10=esp push offset unk_402630 ebp-2c lea eax, [var_14] mov [var_4], 0 push eax mov [var_14], offset aError ; "error" call _CxxThrowException mov eax, offset loc_40104D retn
mb_tiqapxsm 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	mb_tiqapxsm 2020-5-10 09:43 3 楼 0 push ebp mov ebp, esp ebp=esp push 0FFFFFFFFh ebp-4 push offset sub_401C80 ebp-8 mov eax, large fs:0 push eax ebp-c sub esp, 0Ch ebp-18 push ebx ebp-1c push esi ebp-20 push edi ebp-24 mov eax, ___security_cookie xor eax, ebp push eax ebp-28 lea eax, [var_C] eax=add:fs:0 mov large fs:0, eax fs:0=add:fs:0 mov [var_10], esp ebp-10=esp push offset unk_402630 ebp-2c lea eax, [var_14] mov [var_4], 0 push eax mov [var_14], offset aError ; "error" call _CxxThrowException mov eax, offset loc_40104D retn 请问我这样分析对不对
柒雪天尚雪币： 182 活跃值： (576) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 332 粉丝 4 关注私信	柒雪天尚 2020-5-10 10:11 4 楼 0 SIZE_T regionSize; regionSize = sizeof(UCHAR); status = ZwProtectVirtualMemory(NtCurrentProcess(), &baseAddress, &regionSize, PAGE_EXECUTE_READWRITE, &oldProtection);
AngelBeats丶雪币： 173 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 9 粉丝 0 关注私信	AngelBeats丶 2020-5-10 12:20 5 楼 0 柒雪天尚 SIZE_T regionSize; regionSize = sizeof(UCHAR); status = ZwProtectVirtualMemory(NtC ... 不行啊虽然成功了, 但是并没有修改属性 process_MemProtect(pid, 0x40000, 4, PAGE_NOACCESS); 0x40000这个数据我用CE看, 还是能看到数据
AngelBeats丶雪币： 173 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 9 粉丝 0 关注私信	AngelBeats丶 2020-5-10 12:21 6 楼 0 mb_tiqapxsm push ebp mov ebp, esp ebp=esp push 0FFFFFFFFh ebp-4 push ... ??? 没看懂, 我是想成功调用ZwProtectVirtualMemory(), 我用R3层的ProtectVirtualMemory()函数就没问题, 但是用内核的就不成功
luskyc 雪币： 248 活跃值： (3774) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2020-5-10 17:44 7 楼 0 因为是KeStackAttachProcess附加所以要OpenProcess用PROCESS_ALL_ACCESS，传给ZwProtectVirtualMemory，而不是-1
Boring勇哥雪币： 4119 活跃值： (1500) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 77 粉丝 5 关注私信	Boring勇哥 2020-5-10 18:05 8 楼 0 AngelBeats丶不行啊虽然成功了, 但是并没有修改属性 process_MemProtect(pid, 0x40000, 4, PAGE_NOACCESS); 0x40000这个数据我用CE看, 还是能看到数 ... CE可能在读取数据之前修改过内存的保护属性...建议过滤NtProtectVirtualMemory和NtReadVirtualMemory,让CE无法读取内存和修改内存保护
AngelBeats丶雪币： 173 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 9 粉丝 0 关注私信	AngelBeats丶 2020-5-10 19:40 9 楼 0 Boring勇哥 CE可能在读取数据之前修改过内存的保护属性...建议过滤NtProtectVirtualMemory和NtReadVirtualMemory,让CE无法读取内存和修改内存保护我用R3层的ProtectVirtualMemory()函数, 修改PAGE_NOACCESS调用完后, 用CE看内存, 看到的是?? 也说明了R3层调用成功了但是我用R0的NtReadVirtualMemory()函数, 修改PAGE_NOACCESS调用完后, 用CE看内存, 还是能看到数值, 而且返回值是C00000F1、C0000005等等
AngelBeats丶雪币： 173 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 9 粉丝 0 关注私信	AngelBeats丶 2020-5-10 19:41 10 楼 0 yy虫子yy 因为是KeStackAttachProcess附加所以要OpenProcess用PROCESS_ALL_ACCESS，传给ZwProtectVirtualMemory，而不是-1 我用了NtOpenProcess()函数打开进程的, 虽然不会蓝屏, 但是还是没有修改属性, 我用CE还是能看到数值, 正常来说修改PAGE_NOACCESS属性后, CE看到是??
AngelBeats丶雪币： 173 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 9 粉丝 0 关注私信	AngelBeats丶 2020-5-11 22:23 11 楼 1 看返回值查到原因了, 应该是系统页面方式问题, 用其他虚拟机测试可以用
逆向爱好者雪币： 907 活跃值： (3454) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 108 粉丝 17 关注私信	逆向爱好者 2023-3-30 00:04 12 楼 0 AngelBeats丶看返回值查到原因了, 应该是系统页面方式问题, 用其他虚拟机测试可以用 r3都能修改了，ce看不到，r0还比r3权限低么，肯定是代码写错了
wx_nking 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_nking 4天前 13 楼 0 不能改内核地址
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复