MmIsAddressValid

最新推荐文章于 2024-06-03 08:35:20 发布
最新推荐文章于 2024-06-03 08:35:20 发布
阅读量556 收藏
点赞数
ULONG readmemory(IN ULONG windowh,IN ULONG BaseAdd,IN ULONG BufferSize)
{
  //参数一:窗口句柄 参数二:要读取的地址 参数三:读取的大小
  HANDLE ProcessId=0;
  ProcessId =(HANDLE) RealNtUserQueryWindow(windowh, 0);//窗口句柄转化为进程句柄
  if (!ProcessId)return NULL;
  PEPROCESS EProcess=NULL;
  KAPC_STATE ApcState;
  PVOID BaseAddress=(PVOID)BaseAdd;
  ULONG status=NULL;
  status=PsLookupProcessByProcessId(ProcessId,&EProcess);
  if (status != STATUS_SUCCESS)
  {
    //ObDereferenceObject(EProcess);
    KdPrint(("PsLookupProcessByProcessId函数失败\n"));
    status = NULL;
    return status;
  }
  KeStackAttachProcess ((PRKPROCESS)EProcess, &ApcState);

  __try
  {
      if (MmIsAddressValid(BaseAddress))//检测地址是否有效
      {
          ULONG readbuffer=0;
          ProbeForRead ((CONST PVOID)BaseAddress, BufferSize, sizeof(CHAR));//内存读测试
          RtlCopyMemory (&readbuffer, BaseAddress, BufferSize);//读内存
          //status=*(ULONG*)readbuffer;
          status=readbuffer;
          //KdPrint(("读到的内存=%i",(*(ULONG*)readbuffer)));
      }
      else
      {
        //KdPrint(("MmIsAddressValid返回失败\n"));
        status = NULL;
      }
  }
  __except(1)
  {
    //KdPrint(("内存不可读\n"));
    status = NULL;
  }
    KeUnstackDetachProcess (&ApcState);
    ObDereferenceObject(EProcess);
    return status;
}
myjalo
关注
常见的内核漏洞的成因
逆向学习
09-20 1040
文章目录内核漏洞的成因不要随便使用MmIsAddressVaild函数在驱动中如果要对用户态地址进行操作请使用try,__except长度为0的缓存或者为NULL的指针长度为0的缓存一个为NULL的指针缓存对齐不正确的内核函数的调用ObReferenceObjectByHandle不正确的Zw函数调用不要接受任何用户输入的内核对象传递给内核函数。给驱动程序提供功能接口需要小心 内核漏洞的成因 不要...
Win64 驱动内核编程-26.强制结束进程
墨鱼菜鸡
12-18 242
强制结束进程 依然已经走到驱动这一层了,那么通常结束掉一个进程不是什么难的事情。同时因为win64位的各种保护,导致大家慢慢的已经不敢HOOK了,当然这指的是产品。作为学习和破解的话当然可以尝试各种hook。目前来说很多杀软进程保护都是通过回调了保护的,简单,稳定,安全。So,强制结束进程会比当...
[windows内核]分析MmIsAddressValid
r250414958的博客
09-19 3269
如果有过驱动编程经验的人一定会了解这个函数MmIsAddressValid(),这个函数的作用简单来说就是验证一个地址可否使用,因为在驱动编程里稍有不慎就会导致BSOD,会在读取和写入数据的时候都要非常谨慎,做好充足的判断。 这是MSDN中的解释 https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-mmisaddressvalid If no page fault would occur from r
ProbeForRead()和MmIsAddressValid()
zacklin的专栏
06-12 2881
虽然之前就知道这个两个函数是不同的,但是由于代码功能也没什么异常所以一直没太管。 前段时间扫描程序面对一个使用了新版插件的调试器无法进行内存读取,我一开始以为是被自我保护了,但是看看返回的错误码,并不是获取进程失败,而是读取的内存地址不存在。 一步一步跟下来,发现是在校验被读取地址范围的有效性时出了问题,我是用MmIsAddressVaild()做的校验,但是被判断的地址
[转](23)逆向分析 MmIsAddressValid 函数(XP系统 10-10-12分页)
weixin_41875267的博客
11-16 272
一、找到 MmIsAddressValid 函数 方法一:在windbg中输入 u MmIsAddressValid 方法二:在c:\windows\system32\ 中找到内核程序,用IDA分析。 ntkrnlpa.exe 2-9-9-12 分页内核 ntoskrnl.exe 10-10-12 分页内核 打开 ntoskrnl.exe 后,导入pdb文件,即可查看函数名称。 如果你没有pdb文件,请先安装对应系统版本的符号文件。 ...
MmIsAddressValid、ProbeForRead、ProbeForWrite函数分析
zz_strive_2012的专栏
12-19 1163
MmIsAddressValid WDK文档中给出的功能描述: The MmIsAddressValid routine checks whether a page fault will occur for a read or write operation at a given virtual address. 根据描述来看这个函数的功能只是去检查读写操作会不会触发一个页错误,但是作为一个...
透过MmIsAddressValid看Windows分页机制.doc
09-29
透过MmIsAddressValid看Windows分页机制.doc
驱动中检查应用层地址有效
liwen930723的专栏
09-25 1975
之前有个驱动,其中有个功能要用到解析pe结构,传入个imagebase基地址然后解析这个pe文件结构返回信息。后来一个同事维护了一段时间,他辞职之后,测试的告诉我功能失效了,我就把代码拿过来看了看,原来这家伙误用了一个函数MmIsAddressValid,他在解析PE结构的时候,用了一个函数MmIsAddressValid,我看他的意思是想判断一个地址是否有效就用,这个函数名字看起来好像是这个意思...
驱动开发:内核枚举IoTimer定时器
最新发布
06-03 695
枚举IO定时器的案例并不多见,即便有也是无法使用过时的,此教程学到肯定就是赚到了。至此IO定时器的枚举就介绍完了,在教程中你已经学会了使用特征码定位这门技术,相信你完全可以输出内核中想要得到的任何结构体。这个函数他是一个初始化函数,既然是初始化里面一定会涉及到链表的存储问题,找到他就能找到定时器链表基址,该函数的定义如下。接着就是通过代码实现对此处的定位,定位我们就采用特征码搜索的方式,如下代码是特征搜索部分。定时器,内核定时器其实就是在内核中实现的时钟,该定时器的枚举非常简单,因为在。
ProbeForRead/Write和MmIsAddressValid
qq_42814021的博客
10-21 976
ProbeForRead/Write 在开发驱动模块时,有时候需要处理来自用户态进程发送的IOCTL请求。在解析参数的时候,如果有用户地址空间的内存,要检测是否可以读(ProbeForRead)写(ProbeForWrite)。 看一下这两个函数的具体实现: ProbeForRead函数就是简单的检查了一下对齐粒度,然后看这块地址是否属于用户层**(地址末尾要小于MmUserProbeAddress)** 3: kd> dd MmUserProbeAddress 849ac850 7fff0000
MmIsAddressValid()做了些什么
pureman_mega的博客
03-25 989
从函数的名称可以看出是判断地址是否有效,下面是反汇编代码和C代码。它主要判断地址是否对齐来确定地址是否有效。nt!MiIsAddressValid: 840bcaa8 8bff mov edi,edi 840bcaaa 55 push ebp 840bcaab 8bec mov ebp,esp 840bcaa
inline hook MmIsAddressValid
futosky的专栏
03-21 435
//用于inline hook #include KIRQL Irql; extern PEPROCESS pEprocess; /******************************************************************************************/// hook MmIsAddressValid ULONG g_
保护模式(八)pde与pte、基址、 逆向MmIsAddressValid
weixin_37673331的博客
02-26 1223
Windows保护模式学习笔记(七)—— PDE&PTE 原创 ...
透过MmIsAddressValid看Windows分页机制
求索
10-28 1829
标 题: 【原创】透过MmIsAddressValid看Windows分页机制作 者: combojiang时 间: 2008-03-16,00:53链 接: http://bbs.pediy.com/showthread.php?t=61327这两天在逆向分析MmIsAddressValid这个函数,学习了下PAE分页机制,并且也发现了一个问题。就是本机ntoskrnl中导出的MmIsAddre
更安全的MmIsAddressValid
zhuhuibeishadiao
06-05 4309
代码来着开源工具 CheatEngine 在初始化是先调用InitMemSafe() 然后就可以使用IsAddressSafe来代替MmIsAddressValid了 int PTESize; UINT_PTR PAGE_SIZE_LARGE; UINT_PTR MAX_PDE_POS; UINT_PTR MAX_PTE_POS; struct PTEStruct { un
漏洞预防
m0_55875295的博客
05-25 253
内核驱动漏洞原因和七大忠告 不要使用MMIsAddressValid函数,这个函数对于校验内存结果是UNreliable的 首先,他只能判断一个字节地址的有效性 比如:​​​​​​ if(MmIsAdressValid(p1)){ memcmp(p1,p2,len); } 攻击者只需要传递第一个字节在有效页,而第二个字节在无效页的内存就会导致系统崩溃。比如0x7000是有效也 0x8000是无效也 传入0x7fff 其次,MmIsAddressValid对于 pageout的页面不能准..
重载内核全程分析笔记
热门推荐
whatday的专栏
11-05 1万+
标 题: 【原创】重载内核全程分析笔记 作 者: Speeday 时 间: 2013-08-20,20:19:46 链 接: http://bbs.pediy.com/showthread.php?t=177555 还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面
Windows 驱动层读取用户层地址
05-31
1. 使用函数 MmIsAddressValid() 来检查给定的地址是否合法,如果合法则说明该地址是用户层地址。 2. 使用函数 ProbeForRead() 或 ProbeForWrite() 来验证给定的用户层地址是否具有正确的访问权限,并将其转换为内核...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值