[求助]内核调用ZwProtectVirtualMemory 返回C0000005错误-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]内核调用ZwProtectVirtualMemory 返回C0000005错误

2021-9-6 13:39 4100

[求助]内核调用ZwProtectVirtualMemory 返回C0000005错误

月生沧海

2021-9-6 13:39

4100

难搞，返回status是-1073741819 查了一下是C0000005 非法访问，搞不明白哪里非法了！

ULONG KernelVirtualProtect(HANDLE pid, PVOID addr, ULONG size, ULONG protect)
{
  ULONG OldProtect = -15942;
  PEPROCESS process;
  NTSTATUS status;
  SIZE_T alloc_pagesize = 8;
  KAPC_STATE apc_state;
  PsLookupProcessByProcessId(pid, &process);
  KeStackAttachProcess(process, &apc_state);
  status =pfn_ZwProtectVirtualMemory(ZwCurrentProcess(),&addr, &alloc_pagesize,PAGE_EXECUTE_READWRITE,&OldProtect);
  if (!NT_SUCCESS(status))
  {return status;}
  KeUnstackDetachProcess(&apc_state);
  ObDereferenceObject(process);
  return OldProtect;
  }

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

#系统底层

收藏・1

点赞・0

打赏

最新回复 (8)
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2021-9-6 15:17 2 楼 0 你这pfn_ZwProtectVirtualMemory是哪来的
layerfsd 雪币： 8000 活跃值： (2637) 能力值： ( LV9，RANK：180 ) 在线值：发帖 13 回帖 276 粉丝 5 关注私信	layerfsd 4 2021-9-6 17:09 3 楼 0 hzqst 你这pfn_ZwProtectVirtualMemory是哪来的 pFnZwProtectVirtualMemory pfn_ZwProtectVirtualMemory = NULL;
luskyc 雪币： 248 活跃值： (3784) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2021-9-6 17:23 4 楼 0 应该是参数不匹配，单步跟踪一下，有你想要的C5惊喜
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2021-9-6 18:07 5 楼 0 layerfsd pFnZwProtectVirtualMemory pfn_ZwProtectVirtualMemory = NULL; 你没给这玩意赋值吗？还是说pfn_ZwProtectVirtualMemory=找"NtProtectVirtualMemory"？
baikaishiu 雪币： 2458 活跃值： (3318) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 56 粉丝 112 关注私信	baikaishiu 2 2021-9-6 18:12 6 楼 0 hzqst 你没给这玩意赋值吗？还是说pfn_ZwProtectVirtualMemory=找"NtProtectVirtualMemory"？和大表哥合影
月生沧海雪币： 143 活跃值： (775) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	月生沧海 2021-9-6 19:50 7 楼 0 hzqst 你这pfn_ZwProtectVirtualMemory是哪来的动态定位到的啊，抄的BB啊，这里就是返回C5裂开
CIVIL哈雪币： 26 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	CIVIL哈 2021-9-7 11:11 8 楼 0 ZwCurrentProcess()换ObOpenObjectByPointer打开的内核句柄
月生沧海雪币： 143 活跃值： (775) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	月生沧海 2021-9-7 12:40 9 楼 0 CIVIL哈 ZwCurrentProcess()换ObOpenObjectByPointer打开的内核句柄亲亲这两个打开的句柄有什么区别吗！！！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

月生沧海

发帖

回帖

RANK

关注

私信

他的文章

[求助]内核调用ZwProtectVirtualMemory 返回C0000005错误

[求助]内核调用ZwProtectVirtualMemory总是失败返回C0000005错误或PAGE_FAULT_IN_NONPAGED_AREA

开源内核中调用ZwQueryVirtualMemory查询目标内存地址保护属性源码

已删除

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2021-9-6 15:17 2 楼 0 你这pfn_ZwProtectVirtualMemory是哪来的
layerfsd 雪币： 8000 活跃值： (2637) 能力值： ( LV9，RANK：180 ) 在线值：发帖 13 回帖 276 粉丝 5 关注私信	layerfsd 4 2021-9-6 17:09 3 楼 0 hzqst 你这pfn_ZwProtectVirtualMemory是哪来的 pFnZwProtectVirtualMemory pfn_ZwProtectVirtualMemory = NULL;
luskyc 雪币： 248 活跃值： (3784) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2021-9-6 17:23 4 楼 0 应该是参数不匹配，单步跟踪一下，有你想要的C5惊喜
hzqst 雪币： 12837 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2021-9-6 18:07 5 楼 0 layerfsd pFnZwProtectVirtualMemory pfn_ZwProtectVirtualMemory = NULL; 你没给这玩意赋值吗？还是说pfn_ZwProtectVirtualMemory=找"NtProtectVirtualMemory"？
baikaishiu 雪币： 2458 活跃值： (3318) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 56 粉丝 112 关注私信	baikaishiu 2 2021-9-6 18:12 6 楼 0 hzqst 你没给这玩意赋值吗？还是说pfn_ZwProtectVirtualMemory=找"NtProtectVirtualMemory"？和大表哥合影
月生沧海雪币： 143 活跃值： (775) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	月生沧海 2021-9-6 19:50 7 楼 0 hzqst 你这pfn_ZwProtectVirtualMemory是哪来的动态定位到的啊，抄的BB啊，这里就是返回C5裂开
CIVIL哈雪币： 26 活跃值： (470) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 0 关注私信	CIVIL哈 2021-9-7 11:11 8 楼 0 ZwCurrentProcess()换ObOpenObjectByPointer打开的内核句柄
月生沧海雪币： 143 活跃值： (775) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	月生沧海 2021-9-7 12:40 9 楼 0 CIVIL哈 ZwCurrentProcess()换ObOpenObjectByPointer打开的内核句柄亲亲这两个打开的句柄有什么区别吗！！！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复