ZwProtectVirtualMemory使用出现的问题和

已于 2023-08-11 14:07:02 修改
阅读量1.1k 收藏 2
点赞数 2
文章标签: windows
于 2023-08-10 19:27:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/132216440
版权

1.函数定义

需要注意的是这个函数未文档话,网上随便找了个定义,发现报错

typedef NTSTATUS(CALLBACK* PZwProtectVirtualMemory)(
HANDLE ProcessHandle, 
PVOID* BaseAddress, 
PULONG  NumberOfBytesToProtect, 
ULONG NewAccessProtection, 
PULONG OldAccessProtection);

0xC00000F1

STATUS_INVALID_PARAMETER_3

注意第三个参数应该是SIZE_T*类型了,PULONG传进去如果复制的时候是ULONG,前面的高4位不会清零会出错

typedef NTSTATUS(CALLBACK* PZwProtectVirtualMemory)(
HANDLE ProcessHandle, 
PVOID* BaseAddress, 
SIZE_T* NumberOfBytesToProtect, 
ULONG NewAccessProtection, 
PULONG OldAccessProtection);

2.函数的使用

第二个参数在传入之后,传出会发生改变,需要定义一个零时变量去存

printf("%p before %x", g_orgXXXXXAddresss, *(PULONG)g_orgXXXXXAddresss);
NTSTATUS status = ZwProtectVirtualMemory((HANDLE)-1, &g_orgXXXXXAddresss, &uSize, PAGE_EXECUTE_READWRITE,&oldProtect);
printf("status %x", status);
if (NT_SUCCESS(status))
{
	printf("%p before %x", g_orgXXXXXAddresss, *(PULONG)g_orgXXXXXAddresss);
	memcpy(g_orgXXXXXAddresss, g_pZwXXXXXAddresss,0x20);
	printf("%p after %x", g_orgXXXXXAddresss, *(PULONG)g_orgXXXXXAddresss);
	ZwProtectVirtualMemory((HANDLE)-1, &g_orgXXXXXAddresss, &uSize, oldProtect, &oldProtect);
}

输出结果:

before0 00007FFDDF13CA60 1735aae9
status 0
00007FFDDF13C000 before e1a225ff
00007FFDDF13C000 after b8d18b4c

修改代码之后

printf("%p before %x", g_orgXXXXXAddresss, *(PULONG)g_orgXXXXXAddresss);
PVOID address = g_orgXXXXXAddresss;
NTSTATUS status = ZwProtectVirtualMemory((HANDLE)-1, &address, &uSize, PAGE_EXECUTE_READWRITE,&oldProtect);
printf("status %x", status);
if (NT_SUCCESS(status))
{
	printf("%p before %x", g_orgXXXXXAddresss, *(PULONG)g_orgXXXXXAddresss);
	memcpy(g_orgXXXXXAddresss, g_pZwXXXXXAddresss,0x20);
	printf("%p after %x", g_orgXXXXXAddresss, *(PULONG)g_orgXXXXXAddresss);
	address = g_orgXXXXXAddresss;
	ZwProtectVirtualMemory((HANDLE)-1, &address, &uSize, oldProtect, &oldProtect);
}

before0 00007FFDDF13CA60 1735aae9
status 0
00007FFDDF13CA60 before 1735aae9
00007FFDDF13CA60 after b8d18b4c

unsigned char*和char*的问题

一般我比较经常使用PUCHAR很少用char *,进行二进制比较的时候不要用char*

比如

 UCHAR a={0xea}

if((char *)a[0]==0xea)

这里返回的是false,不注意的话会出错,高位为1,区分有符号和无符号

用户层下API的逆向分析及重构
hongduilanjun的博客
03-10 1048
Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。现在我们使用ollydbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现。 测试 od 我们首先在od里面跟一下在ring3层ReadProcessMemory的调用过程 首先在 exe 中 调用 kernel32.ReadProcessMemory函数,我们可以看到这一部分主要是call dword ptr ds:
某超级注入程序的驱动逆向
墨鱼菜鸡
09-09 592
1、起因 从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动的驱动,于是这里把驱动提取出来,简单分析一下。 1.1运行 让程序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载(简单破解一下就行,不是重点) 1.2破解之后 下一个CreateServiceA断点,让它在加载驱动之前断下,接着将驱动拷贝出来。从下...
易语言内核读写内存
07-22
易语言内核读写内存源码,内核读写内存,MyZwWriteVirtualMemory,取出指针,缓存指针,NrWriteVirtualMemory,NrReadVirtualMemory,NtOpenProcess,取系统位数,申请自身内存,GetProcAddress,GetModuleHandleA,取模块函数入口,写自身字节集内存,Call,取自身进程ID,十
32位64位系统内核函数调用从ZwProtectVirtualMemory到NtProtectVirtualMemory
weixin_30624825的博客
09-01 1124
0x01 前言   我们知道R3层中,Zw系列函数Nt系列函数函数是一样的,但是在内核Zw系列函数调用了Nt系列函数,但是为什么要在内核设置一个Zw系列函数而不是直接调用Nt函数呢?Zw系列函数又是怎么调用Nt系列函数的呢?我们利用IDA分析NtosKrnl.exe文件。 0x02 ZwProtectVirtualMemory   我们先看看ZwProtectVirtualMemor...
浅析封装NT函数绕过检测机制与免杀技术
最新发布
moonlightsunshin的博客
03-18 944
NT函数(即“Native”函数)是微软Windows操作系统内部提供的一组底层系统调用,这些函数位于NT层,也称为Windows NT内核层。这些函数直接与操作系统的内核交互,提供了底层的操作功能,比如内存管理、线程管理、进程创建等。与之相对的是Windows API,后者是为用户应用程序提供的更高级接口。NT函数的调用通常直接通过ntdll.dll库中的相关函数来实现。
DLL巧妙的绕过被VMP壳HOOK的ZwProtectVirtualMemory
JUST DO IT.
11-24 4883
被VMP HOOK的ZwProtectVirtualMemory介绍 ZwProtectVirtualMemory,是一个修改内存输入的API函数,VirtualProtectVirtualProtectEx修改内存属性都会通过ZwProtectVirtualMemory这个API函数. 在VMP壳的程序中,注入DLL进行一定的内存修改,但会发现,对WINAPI或者程序的代码段等进行WriteProcessMemory操作,会发现修改错误,错误提示是没有修改权限. 而WriteProcessMemo
mhook钩ZwProtectVirtualMemory直接崩溃的问题与解决
suprole的黑皮本
05-25 2516
Mhook_SetHook()的相关大致流程:
PsSetLoadImageNotifyRoutine回调函数中使用NtProtectVirtualMemory卡死原因
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-12 3293
dll加载的回调应该是在MiMapViewOfSection->MiMapViewOfImageSection里吧,首先在前者调用后者前 会KeAcquireGuardedMutex (&((PROCESS)->AddressCreationLock));来进行同步NtProtectVirtualMemory->MiProtectVirtualMemory也会使用宏LOCK_ADDRESS_SPA
zwprotectvirtualmemory
06-28
b'zwprotectvirtualmemory' 是一个 Windows API 函数,用于保护虚拟内存区域。它可以修改内存区域的保护属性,如可读、可写、可执行可访问...通过使用此函数,可以保护应用程序的关键内存区域,防止非法访问修改。
易语言内存清零杀进程
08-22
易语言内存清零杀进程源码系统结构:OpenProcess,ZwWriteVirtualMemory,ZwProtectVirtualMemory,ZwClose, ======窗口程序集1 || ||------_按钮1_被单击 || || ======调用的Dll || ||---[dll]------OpenProcess || ||-...
打印出ntdll.dll中所有函数名字地址
dididisailor的博客
11-26 3487
0x01 打印出ntdll.dll中所有函数名字地址 0x02 在任何进程中都可以找到ntdll.dllkernel32.dll这个动态链接库的基地址,另外每一个动态链接库基地址实际上都存放在一个双向链表的节点上,只要找到这个双向链表,就可以找到所需要的动态链接库基地址,然后就可以调用乱七八糟的函数,将shellcode放在一个精妙的地方。 0x03 代码如下: // GetKern...
Ring0上调用未导出Zw函数通用函数
huobengle
11-09 365
转自虾总前段时间写的一段无聊代码,可能对大家有点用。用于在驱动里调用一些没有直接导出的Zw函数,如ZwProtectVirtualMemory。在此感谢alpha提供思路。BOOLEAN CallZwFunction(CONST CHAR *FunctionName,PVOID pCallRet,ULONG ArgNum,...) { char *vl; BOOLEAN retval = FA...
内核级结束进程c代码
xinew的专栏
10-11 2200
  #include     #include     #include    #include     #pragma comment (lib,"ntdll.lib")    // Copy From DDK    #pragma comment (lib,"Kernel32.lib")    #pragma comment (lib,"Advapi32.l
Win7下过盛*大Hack*Shield的部分驱动保护
o6108的专栏
06-22 6137
在Win7下很多XP的驱动都不适用了!前几个月研究了一下盛*大游戏的泡泡*堂的Hack*Shield驱动保护发现Hook了十多个内核函数,Ring 3 Ring 0的双重保护,同时加了Themida的壳。 现在暂时发现钩住了以下函数: hook NtReadVirtualMemory hook NtWriteVirtualMemory Hook NtClose Hook NtProte
如何更好更正确的利用VMProtect保护你的软件
热门推荐
u013514820的专栏
02-11 1万+
一.前言 这篇文章主要目的是对VMP壳主要特性有初步的了解,掌握VMProtect3.5软件正确有效的使用方法,并以一个具体案例来演示,演示所使用的版本为VMProtect3.5已注册版本,授权已经过期但保护效果依旧没有过时,官网也才是3.51补丁版本,文章演示所用版本将会在文章末尾附上下载链接。 二.VMProtect浅析 1.打包(压缩/加密) 压缩/加密可执行文件的代码部分以防止被静态分析,这是很常见的保护手法。考虑到被压缩/加密代码在运行过程终究会被还原成正常的未加密的代码,所以会在执行期间
Zw 系列函数
huanongying131的博客
11-19 3882
转:http://blog.sina.com.cn/s/blog_4a1acc7f0100cfud.html      896  37F 0000D379 ZwAcceptConnectPort         897  380 0000D38E ZwAccessCheck         898  381 0000D3A3 ZwAccessCheckAndAuditAlarm         ...
N种内核注入DLL的思路及实现
11-20 1854
Author :  sudami  [sudami@163.com]Time  :  01-11-2008Links  :  http://hi.baidu.com/sudami     内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有部分人会说:“都进内核了.什么不能干?”。是啊,要是内核中可以做包括R3上所有能做的事
4.13(LoadLibrary)
m0_72827793的博客
04-13 996
本章准确来讲,自己的理解很少,需要多花时间好好理解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值