MmIsAddressValid

最新推荐文章于 2024-06-03 08:35:20 发布
最新推荐文章于 2024-06-03 08:35:20 发布
阅读量547 收藏
点赞数
ULONG readmemory(IN ULONG windowh,IN ULONG BaseAdd,IN ULONG BufferSize)
{
  //参数一:窗口句柄 参数二:要读取的地址 参数三:读取的大小
  HANDLE ProcessId=0;
  ProcessId =(HANDLE) RealNtUserQueryWindow(windowh, 0);//窗口句柄转化为进程句柄
  if (!ProcessId)return NULL;
  PEPROCESS EProcess=NULL;
  KAPC_STATE ApcState;
  PVOID BaseAddress=(PVOID)BaseAdd;
  ULONG status=NULL;
  status=PsLookupProcessByProcessId(ProcessId,&EProcess);
  if (status != STATUS_SUCCESS)
  {
    //ObDereferenceObject(EProcess);
    KdPrint(("PsLookupProcessByProcessId函数失败\n"));
    status = NULL;
    return status;
  }
  KeStackAttachProcess ((PRKPROCESS)EProcess, &ApcState);

  __try
  {
      if (MmIsAddressValid(BaseAddress))//检测地址是否有效
      {
          ULONG readbuffer=0;
          ProbeForRead ((CONST PVOID)BaseAddress, BufferSize, sizeof(CHAR));//内存读测试
          RtlCopyMemory (&readbuffer, BaseAddress, BufferSize);//读内存
          //status=*(ULONG*)readbuffer;
          status=readbuffer;
          //KdPrint(("读到的内存=%i",(*(ULONG*)readbuffer)));
      }
      else
      {
        //KdPrint(("MmIsAddressValid返回失败\n"));
        status = NULL;
      }
  }
  __except(1)
  {
    //KdPrint(("内存不可读\n"));
    status = NULL;
  }
    KeUnstackDetachProcess (&ApcState);
    ObDereferenceObject(EProcess);
    return status;
}
myjalo
关注
Win64 驱动内核编程-26.强制结束进程
墨鱼菜鸡
12-18 231
强制结束进程 依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当...
常见的内核漏洞的成因
逆向学习
09-20 1024
文章目录内核漏洞的成因不要随便使用MmIsAddressVaild函数在驱动中如果要对用户态地址进行操作请使用try,__except长度为0的缓存或者为NULL的指针长度为0的缓存一个为NULL的指针缓存对齐不正确的内核函数的调用ObReferenceObjectByHandle不正确的Zw函数调用不要接受任何用户输入的内核对象传递给内核函数。给驱动程序提供功能接口需要小心 内核漏洞的成因 不要...
[windows内核]分析MmIsAddressValid
r250414958的博客
09-19 3164
如果有过驱动编程经验的人一定会了解这个函数MmIsAddressValid(),这个函数的作用简单来说就是验证一个地址可否使用,因为在驱动编程里稍有不慎就会导致BSOD,会在读取和写入数据的时候都要非常谨慎,做好充足的判断。 这是MSDN中的解释 https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-mmisaddressvalid If no page fault would occur from r
ProbeForRead()和MmIsAddressValid()
zacklin的专栏
06-12 2847
虽然之前就知道这个两个函数是不同的,但是由于代码功能也没什么异常所以一直没太管。 前段时间扫描程序面对一个使用了新版插件的调试器无法进行内存读取,我一开始以为是被自我保护了,但是看看返回的错误码,并不是获取进程失败,而是读取的内存地址不存在。 一步一步跟下来,发现是在校验被读取地址范围的有效性时出了问题,我是用MmIsAddressVaild()做的校验,但是被判断的地址
[转](23)逆向分析 MmIsAddressValid 函数(XP系统 10-10-12分页)
weixin_41875267的博客
11-16 251
一、找到 MmIsAddressValid 函数 方法一:在windbg中输入 u MmIsAddressValid 方法二:在c:\windows\system32\ 中找到内核程序,用IDA分析。 ntkrnlpa.exe 2-9-9-12 分页内核 ntoskrnl.exe 10-10-12 分页内核 打开 ntoskrnl.exe 后,导入pdb文件,即可查看函数名称。 如果你没有pdb文件,请先安装对应系统版本的符号文件。 ...
MmIsAddressValid、ProbeForRead、ProbeForWrite函数分析
zz_strive_2012的专栏
12-19 1135
MmIsAddressValid WDK文档中给出的功能描述: The MmIsAddressValid routine checks whether a page fault will occur for a read or write operation at a given virtual address. 根据描述来看这个函数的功能只是去检查读写操作会不会触发一个页错误,但是作为一个...
透过MmIsAddressValid看Windows分页机制.doc
09-29
透过MmIsAddressValid看Windows分页机制.doc
驱动中检查应用层地址有效
liwen930723的专栏
09-25 1949
之前有个驱动,其中有个功能要用到解析pe结构,传入个imagebase基地址然后解析这个pe文件结构返回信息。后来一个同事维护了一段时间,他辞职之后,测试的告诉我功能失效了,我就把代码拿过来看了看,原来这家伙误用了一个函数MmIsAddressValid,他在解析PE结构的时候,用了一个函数MmIsAddressValid,我看他的意思是想判断一个地址是否有效就用,这个函数名字看起来好像是这个意思...
驱动开发:内核枚举IoTimer定时器
最新发布
06-03 688
枚举IO定时器的案例并不多见,即便有也是无法使用过时的,此教程学到肯定就是赚到了。至此IO定时器的枚举就介绍完了,在教程中你已经学会了使用特征码定位这门技术,相信你完全可以输出内核中想要得到的任何结构体。这个函数他是一个初始化函数,既然是初始化里面一定会涉及到链表的存储问题,找到他就能找到定时器链表基址,该函数的定义如下。接着就是通过代码实现对此处的定位,定位我们就采用特征码搜索的方式,如下代码是特征搜索部分。定时器,内核定时器其实就是在内核中实现的时钟,该定时器的枚举非常简单,因为在。
ProbeForRead/Write和MmIsAddressValid
qq_42814021的博客
10-21 927
ProbeForRead/Write 在开发驱动模块时,有时候需要处理来自用户态进程发送的IOCTL请求。在解析参数的时候,如果有用户地址空间的内存,要检测是否可以读(ProbeForRead)写(ProbeForWrite)。 看一下这两个函数的具体实现: ProbeForRead函数就是简单的检查了一下对齐粒度,然后看这块地址是否属于用户层**(地址末尾要小于MmUserProbeAddress)** 3: kd> dd MmUserProbeAddress 849ac850 7fff0000
MmIsAddressValid()做了些什么
pureman_mega的博客
03-25 972
从函数的名称可以看出是判断地址是否有效,下面是反汇编代码和C代码。它主要判断地址是否对齐来确定地址是否有效。nt!MiIsAddressValid: 840bcaa8 8bff mov edi,edi 840bcaaa 55 push ebp 840bcaab 8bec mov ebp,esp 840bcaa
inline hook MmIsAddressValid
futosky的专栏
03-21 423
//用于inline hook #include KIRQL Irql; extern PEPROCESS pEprocess; /******************************************************************************************/// hook MmIsAddressValid ULONG g_
保护模式(八)pde与pte、基址、 逆向MmIsAddressValid
weixin_37673331的博客
02-26 1146
Windows保护模式学习笔记(七)—— PDE&PTE 原创 ...
透过MmIsAddressValid看Windows分页机制
求索
10-28 1817
标 题: 【原创】透过MmIsAddressValid看Windows分页机制作 者: combojiang时 间: 2008-03-16,00:53链 接: http://bbs.pediy.com/showthread.php?t=61327这两天在逆向分析MmIsAddressValid这个函数,学习了下PAE分页机制,并且也发现了一个问题。就是本机ntoskrnl中导出的MmIsAddre
更安全的MmIsAddressValid
zhuhuibeishadiao
06-05 4289
代码来着开源工具 CheatEngine 在初始化是先调用InitMemSafe() 然后就可以使用IsAddressSafe来代替MmIsAddressValid了 int PTESize; UINT_PTR PAGE_SIZE_LARGE; UINT_PTR MAX_PDE_POS; UINT_PTR MAX_PTE_POS; struct PTEStruct { un
64位内核开发第二讲.内核编程注意事项,以及UNICODE_STRING
weixin_30384031的博客
06-08 437
目录 一丶驱动是如何运行的 1.服务注册驱动 二丶Ring3跟Ring0通讯的几种方式 1.IOCTRL_CODE 控制代码的几种IO 2.非控制 缓冲区的三种方式. 三丶Ring3跟Ring0开发区别 1.什么是...
Windows 驱动层读取用户层地址
05-31
1. 使用函数 MmIsAddressValid() 来检查给定的地址是否合法,如果合法则说明该地址是用户层地址。 2. 使用函数 ProbeForRead() 或 ProbeForWrite() 来验证给定的用户层地址是否具有正确的访问权限,并将其转换为内核...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值