[求助]内核调用ZwProtectVirtualMemory 返回C0000005错误-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]内核调用ZwProtectVirtualMemory 返回C0000005错误

发表于: 2021-9-6 13:39 4992

[求助]内核调用ZwProtectVirtualMemory 返回C0000005错误

月生沧海

2021-9-6 13:39

4992

难搞，返回status是-1073741819 查了一下是C0000005 非法访问，搞不明白哪里非法了！

ULONG KernelVirtualProtect(HANDLE pid, PVOID addr, ULONG size, ULONG protect)
{
  ULONG OldProtect = -15942;
  PEPROCESS process;
  NTSTATUS status;
  SIZE_T alloc_pagesize = 8;
  KAPC_STATE apc_state;
  PsLookupProcessByProcessId(pid, &process);
  KeStackAttachProcess(process, &apc_state);
  status =pfn_ZwProtectVirtualMemory(ZwCurrentProcess(),&addr, &alloc_pagesize,PAGE_EXECUTE_READWRITE,&OldProtect);
  if (!NT_SUCCESS(status))
  {return status;}
  KeUnstackDetachProcess(&apc_state);
  ObDereferenceObject(process);
  return OldProtect;
  }

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#系统底层

收藏・1

免费・0

支持

最新回复 (8)
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 2 楼你这pfn_ZwProtectVirtualMemory是哪来的 2021-9-6 15:17 0
layerfsd 雪币： 8188 活跃值： (2842) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 6 关注私信	layerfsd 4 3 楼 hzqst 你这pfn_ZwProtectVirtualMemory是哪来的 pFnZwProtectVirtualMemory pfn_ZwProtectVirtualMemory = NULL; 2021-9-6 17:09 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 4 楼应该是参数不匹配，单步跟踪一下，有你想要的C5惊喜 2021-9-6 17:23 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 5 楼 layerfsd pFnZwProtectVirtualMemory pfn_ZwProtectVirtualMemory = NULL; 你没给这玩意赋值吗？还是说pfn_ZwProtectVirtualMemory=找"NtProtectVirtualMemory"？ 2021-9-6 18:07 0
baikaishiu 雪币： 2458 活跃值： (3318) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 66 粉丝 114 关注私信	baikaishiu 2 6 楼 hzqst 你没给这玩意赋值吗？还是说pfn_ZwProtectVirtualMemory=找"NtProtectVirtualMemory"？和大表哥合影 2021-9-6 18:12 0
月生沧海雪币： 143 活跃值： (780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	月生沧海 7 楼 hzqst 你这pfn_ZwProtectVirtualMemory是哪来的动态定位到的啊，抄的BB啊，这里就是返回C5裂开 2021-9-6 19:50 0
CIVIL哈雪币： 26 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	CIVIL哈 8 楼 ZwCurrentProcess()换ObOpenObjectByPointer打开的内核句柄 2021-9-7 11:11 0
月生沧海雪币： 143 活跃值： (780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	月生沧海 9 楼 CIVIL哈 ZwCurrentProcess()换ObOpenObjectByPointer打开的内核句柄亲亲这两个打开的句柄有什么区别吗！！！ 2021-9-7 12:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

月生沧海

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 2 楼你这pfn_ZwProtectVirtualMemory是哪来的 2021-9-6 15:17 0
layerfsd 雪币： 8188 活跃值： (2842) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 6 关注私信	layerfsd 4 3 楼 hzqst 你这pfn_ZwProtectVirtualMemory是哪来的 pFnZwProtectVirtualMemory pfn_ZwProtectVirtualMemory = NULL; 2021-9-6 17:09 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 4 楼应该是参数不匹配，单步跟踪一下，有你想要的C5惊喜 2021-9-6 17:23 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 5 楼 layerfsd pFnZwProtectVirtualMemory pfn_ZwProtectVirtualMemory = NULL; 你没给这玩意赋值吗？还是说pfn_ZwProtectVirtualMemory=找"NtProtectVirtualMemory"？ 2021-9-6 18:07 0
baikaishiu 雪币： 2458 活跃值： (3318) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 66 粉丝 114 关注私信	baikaishiu 2 6 楼 hzqst 你没给这玩意赋值吗？还是说pfn_ZwProtectVirtualMemory=找"NtProtectVirtualMemory"？和大表哥合影 2021-9-6 18:12 0
月生沧海雪币： 143 活跃值： (780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	月生沧海 7 楼 hzqst 你这pfn_ZwProtectVirtualMemory是哪来的动态定位到的啊，抄的BB啊，这里就是返回C5裂开 2021-9-6 19:50 0
CIVIL哈雪币： 26 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	CIVIL哈 8 楼 ZwCurrentProcess()换ObOpenObjectByPointer打开的内核句柄 2021-9-7 11:11 0
月生沧海雪币： 143 活跃值： (780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	月生沧海 9 楼 CIVIL哈 ZwCurrentProcess()换ObOpenObjectByPointer打开的内核句柄亲亲这两个打开的句柄有什么区别吗！！！ 2021-9-7 12:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复