[求助]R0中调用ZwQueryVirtrualMemory失败，无法正常用，求正确写法-付费问答-看雪-安全社区|安全招聘|kanxue.com

[未解决，已结帖] [求助]R0中调用ZwQueryVirtrualMemory失败，无法正常用，求正确写法 50.00雪花

发表于: 2021-2-17 15:59 4121

[未解决，已结帖] [求助]R0中调用ZwQueryVirtrualMemory失败，无法正常用，求正确写法 50.00雪花

月生沧海

活跃值

2021-2-17 15:59

4121

大佬们，想问一下，在R0中调用ZwQueryVirtrualMemory一直有问题，也找不到更好的办法查虚拟内存地址的可读可写属性，有会的老哥帮帮忙吧！这个太离奇了！小小奉上，以下是代码，KeStackAttach我省略了没加进去。

BOOLEAN KeGeVirtualMemoryInformation(IN HANDLE hProcessId,IN PVOID vAddress,IN ULONG pType,OUT ULONG Protect)
{
	HANDLE Token;
	PEPROCESS pEProcess = NULL;
 	NTSTATUS nStatus = STATUS_SUCCESS;
	MEMORY_BASIC_INFORMATION memoryinfor;
	PSIZE_T oo;

	nStatus = PsLookupProcessByProcessId(hProcessId, pEProcess);
    if (!NT_SUCCESS(nStatus)) return nStatus;
   
    __try 
	{
		nStatus=ZwQueryVirtualMemory(hProcessId,vAddress, MemoryBasicInformation,&memoryinfor,sizeof(MEMORY_INFORMATION_CLASS), oo);

		if (NT_SUCCESS(nStatus)) 
		{
			Protect = memoryinfor.Protect;
		}

  	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
 		return nStatus;
	}

	return nStatus;
}

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・0

免费・0

支持

分享

最新回复 (3)
のばら雪币： 796 活跃值： (2044) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 133 粉丝 7 关注私信	のばら 2 楼 1.PsLookupProcessByProcessId参数二是指针 2.ProcessHandle≠ProcessId 3.try没必要加 2021-2-17 20:35 0
月生沧海雪币： 143 活跃值： (780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	月生沧海 3 楼のばら 1.PsLookupProcessByProcessId参数二是指针 2.ProcessHandle≠ProcessId 3.try没必要加还是不可呀蓝就对了 2021-2-20 14:59 0
Mxixihaha 雪币： 4381 活跃值： (4373) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 593 粉丝 18 关注私信	Mxixihaha 4 楼月生沧海还是不可呀蓝就对了你的参数用错了啊. 错误一: nStatus = PsLookupProcessByProcessId(hProcessId, pEProcess); 修改 nStatus = PsLookupProcessByProcessId(hProcessId, &pEProcess); //加 &符号错误二: `nStatus=ZwQueryVirtualMemory(`hProcessId`,vAddress, MemoryBasicInformation,&memoryinfor,sizeof(MEMORY_INFORMATION_CLASS), oo);` -------------------修改流程代码------------------ 第一步: ZwOpenProcess(hProcessId....); //获取 hProcess 第二步: `nStatus=ZwQueryVirtualMemory(`hProcess`,vAddress, MemoryBasicInformation,&memoryinfor,sizeof(MEMORY_INFORMATION_CLASS), oo);` `注意看` ZwQueryVirtualMemory 的参数一最后于 2021-2-27 11:45 被Mxixihaha编辑，原因： 2021-2-27 11:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

月生沧海

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//