MmCopyVirtualMemory引起的PAGE_FAULT_IN_NONPAGED_AREA (50)蓝屏-¥付费问答-看雪-安全社区|安全招聘|kanxue.com

[已解决] MmCopyVirtualMemory引起的PAGE_FAULT_IN_NONPAGED_AREA (50)蓝屏 200.00雪花

2023-2-12 17:54 10226

[已解决] MmCopyVirtualMemory引起的PAGE_FAULT_IN_NONPAGED_AREA (50)蓝屏 200.00雪花

wx_刹那轮回

2023-2-12 17:54

10226

问题出现好久了一直解决不了，求大佬解决一下
windbg看了一下堆栈,到了nt!memcpy+0x4a这个位置引发的异常,感到很奇怪,传到MmCopyVirtualMemory的参数应该是没问题的，一个脚本项目里面大概3小时后就蓝屏,读的是用户层进程的内存,不知道是不是一直在读的原因

源代码很简单，就是这样写的：

dump文件就不上传了,如果有想解决的,可以留个联系方式
蓝屏dump：
PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This cannot be protected by try-except.
Typically the address is just plain bad or it is pointing at freed memory.
Arguments:
Arg1: ffffffeeffffffef, memory referenced.
Arg2: 0000000000000000, value 0 = read operation, 1 = write operation.
Arg3: fffff80173831c0a, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 0000000000000002, (reserved)

Debugging Details:

KEY_VALUES_STRING: 1

Key  : AV.Type
Value: Read
 
Key  : Analysis.CPU.mSec
Value: 4359
 
Key  : Analysis.DebugAnalysisManager
Value: Create
 
Key  : Analysis.Elapsed.mSec
Value: 56199
 
Key  : Analysis.Init.CPU.mSec
Value: 2578
 
Key  : Analysis.Init.Elapsed.mSec
Value: 84557
 
Key  : Analysis.Memory.CommitPeak.Mb
Value: 94
 
Key  : WER.OS.Branch
Value: co_release
 
Key  : WER.OS.Timestamp
Value: 2021-06-04T16:28:00Z
 
Key  : WER.OS.Version
Value: 10.0.22000.1

FILE_IN_CAB: 011323-18343-01.dmp

BUGCHECK_CODE: 50

BUGCHECK_P1: ffffffeeffffffef

BUGCHECK_P2: 0

BUGCHECK_P3: fffff80173831c0a

BUGCHECK_P4: 2

READ_ADDRESS: fffff80174105450: Unable to get MiVisibleState
Unable to get NonPagedPoolStart
Unable to get NonPagedPoolEnd
Unable to get PagedPoolStart
Unable to get PagedPoolEnd
unable to get nt!MmSpecialPagesInUse
ffffffeeffffffef

MM_INTERNAL_CODE: 2

BLACKBOXBSD: 1 (!blackboxbsd)

BLACKBOXNTFS: 1 (!blackboxntfs)

BLACKBOXPNP: 1 (!blackboxpnp)

BLACKBOXWINLOGON: 1

CUSTOMER_CRASH_COUNT: 1

TRAP_FRAME: fffff50c86487050 -- (.trap 0xfffff50c86487050)
NOTE: The trap frame does not contain all registers.
Some register values may be zeroed or incorrect.
rax=fffff50c864873d0 rbx=0000000000000000 rcx=fffff50c864873d0
rdx=00000ae279b78c1f rsi=0000000000000000 rdi=0000000000000000
rip=fffff80173831c0a rsp=fffff50c864871e8 rbp=00000000000038bc
r8=0000000000000001 r9=fffff50c86487300 r10=fffff50c864872f0
r11=ffffffffffffffff r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei pl nz na pe nc
nt!memcpy+0x4a:
fffff80173831c0a 448a1c11 mov r11b,byte ptr [rcx+rdx] ds:ffffffeeffffffef=??
Resetting default scope

STACK_TEXT:
fffff50c86486da8 fffff801738a1acd : 0000000000000050 ffffffeeffffffef 0000000000000000 fffff50c86487050 : nt!KeBugCheckEx
fffff50c86486db0 fffff80173665396 : 0000000000000040 0000000000000000 fffff50c86486fb0 0000000000000000 : nt!MiSystemFault+0x1c4a5d
fffff50c86486eb0 fffff8017382c941 : 0000000000000000 0000000000000000 0000000000000001 0000000000000000 : nt!MmAccessFault+0x2a6
fffff50c86487050 fffff80173831c0a : fffff80173a8ebf8 ffffffeeffffffef 0000000000000000 fffff50c864872f0 : nt!KiPageFault+0x341
fffff50c864871e8 fffff80173a8ebf8 : ffffffeeffffffef 0000000000000000 fffff50c864872f0 ffffcf8f00000000 : nt!memcpy+0x4a
fffff50c864871f0 fffff80173a8dadd : ffffcf8f815a00c0 00000000000038bc 0000000000000070 fffff80173821740 : nt!MiCopyVirtualMemory+0x2b8
fffff50c86487620 ffff80008e8c20d7 : cf8f815a00c0b627 0000000000000000 ffffcf8f823b5060 0000000000000020 : nt!MmCopyVirtualMemory+0x2d
fffff50c86487670 cf8f815a00c0b627 : 0000000000000000 ffffcf8f823b5060 0000000000000020 0000000000000001 : 0xffff80008e8c20d7 fffff50c86487678 0000000000000000 : ffffcf8f823b5060 0000000000000020 0000000000000001 fffff80173a8bc00 : 0xcf8f815a00c0b627
SYMBOL_NAME: nt!MiSystemFault+1c4a5d

MODULE_NAME: nt

IMAGE_VERSION: 10.0.22000.1455

STACK_COMMAND: .cxr; .ecxr ; kb

IMAGE_NAME: ntkrnlmp.exe

BUCKET_ID_FUNC_OFFSET: 1c4a5d

FAILURE_BUCKET_ID: AVR(null)_nt!MiSystemFault

OS_VERSION: 10.0.22000.1

BUILDLAB_STR: co_release

OSPLATFORM_TYPE: x64

OSNAME: Windows 10

FAILURE_ID_HASH: {636dd506-1acb-bac0-a568-0355527c550f}

Followup: MachineOwner

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

最后于 2023-3-27 16:25 被wx_刹那轮回编辑，原因：

收藏・1

点赞・1

打赏

最新回复 (10)
syser 雪币： 2648 活跃值： (3748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 232 粉丝 7 关注私信	syser 2023-2-13 04:40 2 楼 0 你这个问题很明显啊 Arg1: ffffffeeffffffef, memory referenced. 这里已经告诉你了，你读这个地址导致的蓝屏你函数里给的是KernelMode 这里地址是在内核地址空间相当于直接memcpy了但是这个地址明显不是有效的内核地址的异常是没法直接处理的解决方法三种： 1.要么自己加参数判断你要读的地址是不是小于MmHighestUserAddress（因为你自己说了你读的是R3的内存） 2.用MmCopyMemory（不过WIN7用不了），他会保证即使你读了非法的内核空间地址也没事不要自己取取Pte判断页有效性，如果被PageFault放到硬盘或者Win10开始的内存压缩机制压缩了就没用了 3.检查你代码。。。为什么会读R3内存传了R0地址空间最后于 2023-2-13 04:43 被syser编辑，原因：
wx_刹那轮回雪币： 88 活跃值： (301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	wx_刹那轮回 2023-2-13 05:07 3 楼 0 syser 你这个问题很明显啊Arg1: ffffffeeffffffef, memory referenced.这里已经告诉你了，你读这个地址导致的蓝屏你函 ... 我传的参数应该是没问题的，因为都是用户层的地址，即使我传一个无效的用户地址函数内部也会处理,不知道为啥函数内部里面的memcpy读了这个非法内核地址，也不知道怎么来的，也不是刚读就蓝，大概脚本挂机四五个小时就会蓝最后于 2023-2-13 05:08 被wx_刹那轮回编辑，原因：
黑色星期天雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 3 粉丝 3 关注私信	黑色星期天 2023-2-13 09:29 4 楼 0 缺页错误，刚好访问的用户地址页面交换出去了，或者没有进程挂靠，访问了别的CR3,先MmIsAddressValid看内存地址是否能访问，还有要判断一下取的Eprocess是否正确最后于 2023-2-13 09:34 被黑色星期天编辑，原因：
wx_刹那轮回雪币： 88 活跃值： (301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	wx_刹那轮回 2023-2-13 11:40 5 楼 0 黑色星期天缺页错误，刚好访问的用户地址页面交换出去了，或者没有进程挂靠，访问了别的CR3,先MmIsAddressValid看内存地址是否能访问，还有要判断一下取的Eprocess是否正确 windbg看了，没被交换出去，而且我用的是MmCopyVirtualMemory,这个api内部就是进程靠挂，建议你看一下我的代码
sidyhe 雪币： 2847 活跃值： (595) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 337 粉丝 9 关注私信	sidyhe 1 2023-2-13 12:02 6 楼 0 看你使用了KernelMode 那么这个Mm函数内部会跳过一些地址的可用性检查, 它会默认地址来自内核, 以及一些特殊逻辑建议是先检查两边进程的memory总是有效, 或者先lock住, 全部成功了再Copy 可以参考WRK的部分实现, 或者手写一份跨进程的CopyMemory 最后于 2023-2-13 12:03 被sidyhe编辑，原因：
wx_刹那轮回雪币： 88 活跃值： (301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	wx_刹那轮回 2023-2-13 13:17 7 楼 0 sidyhe 看你使用了KernelMode那么这个Mm函数内部会跳过一些地址的可用性检查, 它会默认地址来自内核, 以及一些特殊逻辑建议是先检查两边进程的memory总是有效, ... 好的我试试
黑色星期天雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 3 粉丝 3 关注私信	黑色星期天 2023-2-23 11:01 8 楼 0 wx_刹那轮回 windbg看了，没被交换出去，而且我用的是MmCopyVirtualMemory,这个api内部就是进程靠挂，建议你看一下我的代码 rcx+rdx的值，显然是错误的地址，CR3真的正确吗
mb_ernlsikd 雪币： 180 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_ernlsikd 2023-3-27 16:43 (+200.00雪花) 9 楼 0 限制一下参数的范围应该就可以了
moshuiD 雪币：活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	moshuiD 2024-4-6 10:59 10 楼 0 最简单的办法把KernelMode 改成 UserMode
音混不散雪币： 6 活跃值： (303) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 2 关注私信	音混不散 2024-4-16 02:12 11 楼 0 SourceProcess和TargetProcess搞反了哥们 NTSTATUS memory::WriteProcessMemory_API(HANDLE ProcessId, PVOID VitualAddress, PVOID Buffer, SIZE_T Size) { NTSTATUS status; PEPROCESS Process; SIZE_T SizeRead; if (VitualAddress > MmHighestUserAddress \|\| Buffer > MmHighestUserAddress \|\| (ULONG64)VitualAddress + Size > (ULONG64)MmHighestUserAddress \|\| (ULONG64)Buffer + Size > (ULONG64)MmHighestUserAddress) { return STATUS_INVALID_PARAMETER; } status = PsLookupProcessByProcessId(ProcessId, &Process); if (!NT_SUCCESS(status)) { return status; } ObDereferenceObject(Process); status = MmCopyVirtualMemory(PsGetCurrentProcess(), Buffer, Process, VitualAddress, Size, KernelMode, &SizeRead); return status; }
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

wx_刹那轮回

发帖

回帖

RANK

关注

私信

他的文章

[求助]物理内存映射问题

MmCopyVirtualMemory引起的PAGE_FAULT_IN_NONPAGED_AREA (50)蓝屏

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
syser 雪币： 2648 活跃值： (3748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 232 粉丝 7 关注私信	syser 2023-2-13 04:40 2 楼 0 你这个问题很明显啊 Arg1: ffffffeeffffffef, memory referenced. 这里已经告诉你了，你读这个地址导致的蓝屏你函数里给的是KernelMode 这里地址是在内核地址空间相当于直接memcpy了但是这个地址明显不是有效的内核地址的异常是没法直接处理的解决方法三种： 1.要么自己加参数判断你要读的地址是不是小于MmHighestUserAddress（因为你自己说了你读的是R3的内存） 2.用MmCopyMemory（不过WIN7用不了），他会保证即使你读了非法的内核空间地址也没事不要自己取取Pte判断页有效性，如果被PageFault放到硬盘或者Win10开始的内存压缩机制压缩了就没用了 3.检查你代码。。。为什么会读R3内存传了R0地址空间最后于 2023-2-13 04:43 被syser编辑，原因：
wx_刹那轮回雪币： 88 活跃值： (301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	wx_刹那轮回 2023-2-13 05:07 3 楼 0 syser 你这个问题很明显啊Arg1: ffffffeeffffffef, memory referenced.这里已经告诉你了，你读这个地址导致的蓝屏你函 ... 我传的参数应该是没问题的，因为都是用户层的地址，即使我传一个无效的用户地址函数内部也会处理,不知道为啥函数内部里面的memcpy读了这个非法内核地址，也不知道怎么来的，也不是刚读就蓝，大概脚本挂机四五个小时就会蓝最后于 2023-2-13 05:08 被wx_刹那轮回编辑，原因：
黑色星期天雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 3 粉丝 3 关注私信	黑色星期天 2023-2-13 09:29 4 楼 0 缺页错误，刚好访问的用户地址页面交换出去了，或者没有进程挂靠，访问了别的CR3,先MmIsAddressValid看内存地址是否能访问，还有要判断一下取的Eprocess是否正确最后于 2023-2-13 09:34 被黑色星期天编辑，原因：
wx_刹那轮回雪币： 88 活跃值： (301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	wx_刹那轮回 2023-2-13 11:40 5 楼 0 黑色星期天缺页错误，刚好访问的用户地址页面交换出去了，或者没有进程挂靠，访问了别的CR3,先MmIsAddressValid看内存地址是否能访问，还有要判断一下取的Eprocess是否正确 windbg看了，没被交换出去，而且我用的是MmCopyVirtualMemory,这个api内部就是进程靠挂，建议你看一下我的代码
sidyhe 雪币： 2847 活跃值： (595) 能力值： ( LV7，RANK：100 ) 在线值：发帖 16 回帖 337 粉丝 9 关注私信	sidyhe 1 2023-2-13 12:02 6 楼 0 看你使用了KernelMode 那么这个Mm函数内部会跳过一些地址的可用性检查, 它会默认地址来自内核, 以及一些特殊逻辑建议是先检查两边进程的memory总是有效, 或者先lock住, 全部成功了再Copy 可以参考WRK的部分实现, 或者手写一份跨进程的CopyMemory 最后于 2023-2-13 12:03 被sidyhe编辑，原因：
wx_刹那轮回雪币： 88 活跃值： (301) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	wx_刹那轮回 2023-2-13 13:17 7 楼 0 sidyhe 看你使用了KernelMode那么这个Mm函数内部会跳过一些地址的可用性检查, 它会默认地址来自内核, 以及一些特殊逻辑建议是先检查两边进程的memory总是有效, ... 好的我试试
黑色星期天雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 3 粉丝 3 关注私信	黑色星期天 2023-2-23 11:01 8 楼 0 wx_刹那轮回 windbg看了，没被交换出去，而且我用的是MmCopyVirtualMemory,这个api内部就是进程靠挂，建议你看一下我的代码 rcx+rdx的值，显然是错误的地址，CR3真的正确吗
mb_ernlsikd 雪币： 180 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_ernlsikd 2023-3-27 16:43 (+200.00雪花) 9 楼 0 限制一下参数的范围应该就可以了
moshuiD 雪币：活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	moshuiD 2024-4-6 10:59 10 楼 0 最简单的办法把KernelMode 改成 UserMode
音混不散雪币： 6 活跃值： (303) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 2 关注私信	音混不散 2024-4-16 02:12 11 楼 0 SourceProcess和TargetProcess搞反了哥们 NTSTATUS memory::WriteProcessMemory_API(HANDLE ProcessId, PVOID VitualAddress, PVOID Buffer, SIZE_T Size) { NTSTATUS status; PEPROCESS Process; SIZE_T SizeRead; if (VitualAddress > MmHighestUserAddress \|\| Buffer > MmHighestUserAddress \|\| (ULONG64)VitualAddress + Size > (ULONG64)MmHighestUserAddress \|\| (ULONG64)Buffer + Size > (ULONG64)MmHighestUserAddress) { return STATUS_INVALID_PARAMETER; } status = PsLookupProcessByProcessId(ProcessId, &Process); if (!NT_SUCCESS(status)) { return status; } ObDereferenceObject(Process); status = MmCopyVirtualMemory(PsGetCurrentProcess(), Buffer, Process, VitualAddress, Size, KernelMode, &SizeRead); return status; }
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复