[求助]关于ZwAllocateVritualMemory这个函数的使用问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

Mr.hack

2021-3-16 13:15

3704

众所周知，这个函数用来处在一个进程上下文的内核层给一个进程的应用层分配内存的，说白了和在应用层的VritualAllocEX这个函数的功能差不多，只不过VritialAllocEx是在应用层使用的，这个是在内核使用的，函数原型如下：

NTSTATUS ZwAllocateVirtualMemory(

IN HANDLE ProcessHandle,

IN OUT PVOID *BaseAddress,

IN ULONG ZeroBits,

IN OUT PSIZE_T RegionSize,

IN ULONG AllocationType,

IN ULONG Protect

);

第二参数用来指定要分配的内存的起始虚拟地址，也可以设置为NULL让操作系统自己指定起始的虚拟地址，但问题是当第二个参数指定为NULL的时候如果内存分配成功了如何知道分配的这块内存的虚拟地址呢？？？？

返回值和6个参数没有一个是用来获取分配的内存的虚拟地址的，微软官方的开发文档也没说怎么获取分配的内存地址，很是不解，有知道的大佬给解答一下，感激不尽！

收藏・0

点赞・0

打赏

最新回复 (2)
淡然他徒弟雪币： 5912 活跃值： (4512) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 199 粉丝 99 关注私信	淡然他徒弟 1 2021-3-16 13:26 2 楼 1 uintptr_t baseaddress{0};// 此时baseaddress为0 ZwAllocateVirtualMemory(xx,&baseaddress,xx,xx,xx,xx) DbgPrint("[+]BaseAddresss:%llx\n",baseaddresss);//此时若ZwAllocateVirtualMemory调用成功 baseaddress就是申请内存成功后返回的虚拟地址。调用完以后 baseaddress的值会被改变
Mr.hack 雪币： 2666 活跃值： (3292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 111 粉丝 14 关注私信	Mr.hack 2021-3-16 16:06 3 楼 0 淡然他徒弟 uintptr_t baseaddress{0};// 此时baseaddress为0 ZwAllocateVirtualMemory(xx,&baseaddress,xx,xx,xx,xx ... 感谢！！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

Mr.hack

发帖

回帖

RANK

关注

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
淡然他徒弟雪币： 5912 活跃值： (4512) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 199 粉丝 99 关注私信	淡然他徒弟 1 2021-3-16 13:26 2 楼 1 uintptr_t baseaddress{0};// 此时baseaddress为0 ZwAllocateVirtualMemory(xx,&baseaddress,xx,xx,xx,xx) DbgPrint("[+]BaseAddresss:%llx\n",baseaddresss);//此时若ZwAllocateVirtualMemory调用成功 baseaddress就是申请内存成功后返回的虚拟地址。调用完以后 baseaddress的值会被改变
Mr.hack 雪币： 2666 活跃值： (3292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 111 粉丝 14 关注私信	Mr.hack 2021-3-16 16:06 3 楼 0 淡然他徒弟 uintptr_t baseaddress{0};// 此时baseaddress为0 ZwAllocateVirtualMemory(xx,&baseaddress,xx,xx,xx,xx ... 感谢！！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复