ZwProtectVirtualMemory修改内存属性有时候可以有时候不可以-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 ZwProtectVirtualMemory修改内存属性有时候可以有时候不可以

发表于: 2020-11-3 23:13 3122

未解决 ZwProtectVirtualMemory修改内存属性有时候可以有时候不可以

wx_1_842

2020-11-3 23:13

3122

ULONG SetProtect(HANDLE pid, PVOID addr, ULONG size, ULONG protect) {
typedef NTSTATUS(*pZwProtectVirtualMemory)(HANDLE ProcessHandle, PVOID* BaseAddress, PULONG ProtectSize, ULONG NewProtect, PULONG OldProtect);
pZwProtectVirtualMemory ZwProtectVirtualMemory = (pZwProtectVirtualMemory)((UINT64)ZwWaitForSingleObject + 0x20 * (0x4d - 1));
 
 
//    根据pid获取PEPROCESS
PEPROCESS process;
PsLookupProcessByProcessId(pid, &process);
 
ULONG OldProtect = 0;
KAPC_STATE apc_state;
 
//    附加来切换到目标进程()
KeStackAttachProcess(process, &apc_state);
//    判断目标地址的数据是否有效()
 
    ZwProtectVirtualMemory(NtCurrentProcess(), &addr, &size, protect, &OldProtect);
 
//    切换到原进程()
KeUnstackDetachProcess(&apc_state);
//    引用计数-1
ObDereferenceObject(process);
return OldProtect;
}

有时候成功有时候不行
话说需不需要通过ZwOpenProcess打开然后修改
如果需要给个代码

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

最后于 2020-11-3 23:16 被wx_1_842编辑，原因：

收藏・0

免费・0

支持

最新回复 (8)
Alfik 雪币： 897 活跃值： (5916) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 367 粉丝 125 关注私信	Alfik 2 楼 NTSTATUS?! 2020-11-6 05:23 0
wx_1_842 雪币： 65 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	wx_1_842 3 楼 . 2020-11-7 09:19 0
xiaohang 雪币： 2119 活跃值： (3151) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 81 关注私信	xiaohang 3 4 楼不判断一下PsLookupProcessByProcessId返回是否正确？ 2020-11-7 10:23 0
乌拉！雪币： 44 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 1 关注私信	乌拉！ 5 楼 if (NT_SUCCESS(PsLookupProcessByProcessId(pid, &Process))) { 还是判断一下嘛 } 2020-11-7 10:55 0
大佬求关照雪币： 6 活跃值： (546) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 39 粉丝 0 关注私信	大佬求关照 6 楼一直不明白 PsLookupProcessByProcessId后是否需要调用ObDereferenceObject，微软官方说需要，但是看好多源码例程里都没调用 2020-11-7 23:45 0
のばら雪币： 789 活跃值： (1819) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 131 粉丝 7 关注私信	のばら 7 楼大佬求关照一直不明白 PsLookupProcessByProcessId后是否需要调用ObDereferenceObject，微软官方说需要，但是看好多源码例程里都没调用需要的，在你调用函数的时候，会引用计数会增加，不删除的话会影响对象的释放 2020-11-8 00:04 0
Alfik 雪币： 897 活跃值： (5916) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 367 粉丝 125 关注私信	Alfik 8 楼 if (NT_SUCCESS( ZwProtectVirtualMemory(NtCurrentProcess(), &addr, &size, protect, &OldProtect)) { } 2020-11-8 18:22 0
wx_1_842 雪币： 65 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	wx_1_842 9 楼 wx_A_843 if (NT_SUCCESS(PsLookupProcessByProcessId(pid, &Process))) { 还是判断一下嘛 } 不然会蓝屏最后于 2020-11-16 11:09 被wx_1_842编辑，原因： 2020-11-16 11:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wx_1_842

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
Alfik 雪币： 897 活跃值： (5916) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 367 粉丝 125 关注私信	Alfik 2 楼 NTSTATUS?! 2020-11-6 05:23 0
wx_1_842 雪币： 65 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	wx_1_842 3 楼 . 2020-11-7 09:19 0
xiaohang 雪币： 2119 活跃值： (3151) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 81 关注私信	xiaohang 3 4 楼不判断一下PsLookupProcessByProcessId返回是否正确？ 2020-11-7 10:23 0
乌拉！雪币： 44 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 1 关注私信	乌拉！ 5 楼 if (NT_SUCCESS(PsLookupProcessByProcessId(pid, &Process))) { 还是判断一下嘛 } 2020-11-7 10:55 0
大佬求关照雪币： 6 活跃值： (546) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 39 粉丝 0 关注私信	大佬求关照 6 楼一直不明白 PsLookupProcessByProcessId后是否需要调用ObDereferenceObject，微软官方说需要，但是看好多源码例程里都没调用 2020-11-7 23:45 0
のばら雪币： 789 活跃值： (1819) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 131 粉丝 7 关注私信	のばら 7 楼大佬求关照一直不明白 PsLookupProcessByProcessId后是否需要调用ObDereferenceObject，微软官方说需要，但是看好多源码例程里都没调用需要的，在你调用函数的时候，会引用计数会增加，不删除的话会影响对象的释放 2020-11-8 00:04 0
Alfik 雪币： 897 活跃值： (5916) 能力值： ( LV2，RANK：10 ) 在线值：发帖 46 回帖 367 粉丝 125 关注私信	Alfik 8 楼 if (NT_SUCCESS( ZwProtectVirtualMemory(NtCurrentProcess(), &addr, &size, protect, &OldProtect)) { } 2020-11-8 18:22 0
wx_1_842 雪币： 65 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	wx_1_842 9 楼 wx_A_843 if (NT_SUCCESS(PsLookupProcessByProcessId(pid, &Process))) { 还是判断一下嘛 } 不然会蓝屏最后于 2020-11-16 11:09 被wx_1_842编辑，原因： 2020-11-16 11:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复