[求助]win7调用ssdt NtProtectVirtualMemory问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]win7调用ssdt NtProtectVirtualMemory问题

发表于: 2020-12-2 13:37 4001

[求助]win7调用ssdt NtProtectVirtualMemory问题

妮可

2020-12-2 13:37

4001

if (!NtProtectVirtualMemory64)
{
    *(PVOID*)&NtProtectVirtualMemory64 = GetSSDTEntry(GetDllFunctionAddress(L"NtProtectVirtualMemory", L"\\SystemRoot\\system32\\ntdll.dll"));
}
ULONG ret = NULL;
PEPROCESS process;
if (PsLookupProcessByProcessId((HANDLE)pid, &process) != 0) { return 0; }
uintptr_t baseAddress = address;
SIZE_T regionSize = size;
KeAttachProcess(process);
NTSTATUS a = NtProtectVirtualMemory64(NtCurrentProcess(), &baseAddress, &regionSize, NewProtect, &ret);
KeDetachProcess();
ObDereferenceObject(process);
return ret;

函数地址是对的,驱动加载的时候随意附加一个进程测试都能修改成功.但是io调用的时候就返回c0000005,实在搞不懂了

[课程]Android-CTF解题方法汇总！

收藏・1

免费・0

支持

最新回复 (7)
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 2 楼 PUCHAR pPrevMode = (PUCHAR)PsGetCurrentThread() + 0x1F6; UCHAR prevMode = pPrevMode; pPrevMode = KernelMode; ULONG ret = NULL; uintptr_t baseAddress = address; SIZE_T regionSize = size; NtProtectVirtualMemory64(NtCurrentProcess(), &baseAddress, &regionSize, NewProtect, &ret); DPRINT("mode: %llx \n", ExGetPreviousMode()); *pPrevMode = prevMode; 修改了mode也不行,实在不明白 2020-12-2 14:13 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 3 楼自己windbg单步跟踪一下啊？ 2020-12-2 18:47 0
vblank 雪币： 1469 活跃值： (440) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 0 关注私信	vblank 4 楼 hzqst 自己windbg单步跟踪一下啊？热心的大表锅，怒赞还是建议申请R3的内存进行操作，改mode我也试过，不好使 2020-12-2 20:59 0
のばら雪币： 789 活跃值： (1774) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 131 粉丝 7 关注私信	のばら 5 楼看好参数，我记得NewProtect是指针类型的，检查一下吧，需要传指针 2020-12-3 00:01 0
不吃麻婆豆腐雪币： 2055 活跃值： (486) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 13 关注私信	不吃麻婆豆腐 6 楼用Zw函数 2020-12-3 02:25 0
bjdxwgb 雪币： 2496 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	bjdxwgb 7 楼 win10怎么样才能替换系统文件. 2020-12-3 08:13 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 8 楼谢谢各位大佬.之前不知道为什么上看雪总是404,没法来现在弄好了,是我改mode改错了,改对之后就能用了 2020-12-4 04:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

妮可

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 2 楼 PUCHAR pPrevMode = (PUCHAR)PsGetCurrentThread() + 0x1F6; UCHAR prevMode = pPrevMode; pPrevMode = KernelMode; ULONG ret = NULL; uintptr_t baseAddress = address; SIZE_T regionSize = size; NtProtectVirtualMemory64(NtCurrentProcess(), &baseAddress, &regionSize, NewProtect, &ret); DPRINT("mode: %llx \n", ExGetPreviousMode()); *pPrevMode = prevMode; 修改了mode也不行,实在不明白 2020-12-2 14:13 0
hzqst 雪币： 12848 活跃值： (9108) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 563 关注私信	hzqst 3 3 楼自己windbg单步跟踪一下啊？ 2020-12-2 18:47 0
vblank 雪币： 1469 活跃值： (440) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 0 关注私信	vblank 4 楼 hzqst 自己windbg单步跟踪一下啊？热心的大表锅，怒赞还是建议申请R3的内存进行操作，改mode我也试过，不好使 2020-12-2 20:59 0
のばら雪币： 789 活跃值： (1774) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 131 粉丝 7 关注私信	のばら 5 楼看好参数，我记得NewProtect是指针类型的，检查一下吧，需要传指针 2020-12-3 00:01 0
不吃麻婆豆腐雪币： 2055 活跃值： (486) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 69 粉丝 13 关注私信	不吃麻婆豆腐 6 楼用Zw函数 2020-12-3 02:25 0
bjdxwgb 雪币： 2496 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 37 粉丝 0 关注私信	bjdxwgb 7 楼 win10怎么样才能替换系统文件. 2020-12-3 08:13 0
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 8 楼谢谢各位大佬.之前不知道为什么上看雪总是404,没法来现在弄好了,是我改mode改错了,改对之后就能用了 2020-12-4 04:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复