ZwProtectVirtualMemory使用出现的问题和

已于 2023-08-11 14:07:02 修改
阅读量501 收藏 1
点赞数 1
文章标签: windows
于 2023-08-10 19:27:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/132216440
版权

1.函数定义

需要注意的是这个函数未文档话,网上随便找了个定义,发现报错

typedef NTSTATUS(CALLBACK* PZwProtectVirtualMemory)(
HANDLE ProcessHandle, 
PVOID* BaseAddress, 
PULONG  NumberOfBytesToProtect, 
ULONG NewAccessProtection, 
PULONG OldAccessProtection);

0xC00000F1

STATUS_INVALID_PARAMETER_3

注意第三个参数应该是SIZE_T*类型了,PULONG传进去如果复制的时候是ULONG,前面的高4位不会清零会出错

typedef NTSTATUS(CALLBACK* PZwProtectVirtualMemory)(
HANDLE ProcessHandle, 
PVOID* BaseAddress, 
SIZE_T* NumberOfBytesToProtect, 
ULONG NewAccessProtection, 
PULONG OldAccessProtection);

2.函数的使用

第二个参数在传入之后,传出会发生改变,需要定义一个零时变量去存

printf("%p before %x", g_orgXXXXXAddresss, *(PULONG)g_orgXXXXXAddresss);
NTSTATUS status = ZwProtectVirtualMemory((HANDLE)-1, &g_orgXXXXXAddresss, &uSize, PAGE_EXECUTE_READWRITE,&oldProtect);
printf("status %x", status);
if (NT_SUCCESS(status))
{
	printf("%p before %x", g_orgXXXXXAddresss, *(PULONG)g_orgXXXXXAddresss);
	memcpy(g_orgXXXXXAddresss, g_pZwXXXXXAddresss,0x20);
	printf("%p after %x", g_orgXXXXXAddresss, *(PULONG)g_orgXXXXXAddresss);
	ZwProtectVirtualMemory((HANDLE)-1, &g_orgXXXXXAddresss, &uSize, oldProtect, &oldProtect);
}

输出结果:

before0 00007FFDDF13CA60 1735aae9
status 0
00007FFDDF13C000 before e1a225ff
00007FFDDF13C000 after b8d18b4c

修改代码之后

printf("%p before %x", g_orgXXXXXAddresss, *(PULONG)g_orgXXXXXAddresss);
PVOID address = g_orgXXXXXAddresss;
NTSTATUS status = ZwProtectVirtualMemory((HANDLE)-1, &address, &uSize, PAGE_EXECUTE_READWRITE,&oldProtect);
printf("status %x", status);
if (NT_SUCCESS(status))
{
	printf("%p before %x", g_orgXXXXXAddresss, *(PULONG)g_orgXXXXXAddresss);
	memcpy(g_orgXXXXXAddresss, g_pZwXXXXXAddresss,0x20);
	printf("%p after %x", g_orgXXXXXAddresss, *(PULONG)g_orgXXXXXAddresss);
	address = g_orgXXXXXAddresss;
	ZwProtectVirtualMemory((HANDLE)-1, &address, &uSize, oldProtect, &oldProtect);
}

before0 00007FFDDF13CA60 1735aae9
status 0
00007FFDDF13CA60 before 1735aae9
00007FFDDF13CA60 after b8d18b4c

unsigned char*和char*的问题

一般我比较经常使用PUCHAR很少用char *,进行二进制比较的时候不要用char*

比如

 UCHAR a={0xea}

if((char *)a[0]==0xea)

这里返回的是false,不注意的话会出错,高位为1,区分有符号和无符号

被遗弃的庸才
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dll万能注射器
05-15
dll万能注射器
32位和64位系统内核函数调用从ZwProtectVirtualMemory到NtProtectVirtualMemory
weixin_30624825的博客
09-01 934
0x01 前言   我们知道R3层中,Zw系列函数和Nt系列函数函数是一样的,但是在内核Zw系列函数调用了Nt系列函数,但是为什么要在内核设置一个Zw系列函数而不是直接调用Nt函数呢?Zw系列函数又是怎么调用Nt系列函数的呢?我们利用IDA分析NtosKrnl.exe文件。 0x02 ZwProtectVirtualMemory   我们先看看ZwProtectVirtualMemor...
gld:进入Shellcode LoaDer
05-24
进入Shellcode LoaDer 此仓库是一个演示,缺少足够的功能来绕过AV / EDR。 我编写了一个包含更多规避技术的私有框架,将来可能会公开 用法 首先通过CS / MSF生成shellcode,然后使用gld编译包装的二进制文件: ./gld shellcode.bin [x64/x86] 科技类 装载机 Shellcode通过AES-GCM加密,它将被解密并在运行时加载 使用ntdll!ZwProtectVirtualMemory代替kernelbase!VirtualProtect (绕过可能的钩子)绕过DEP 使用局部变量而不是字符串文字来传递过程名称( string([]byte{...}) ),以避免静态内存匹配 探测器 虚拟机 检查是否具有黑名单MAC前缀 检查物理内存是否小于2GB或CPU内核数是否小于2(cpuid和GlobalMemoryStatusE
go语言base64加密解密的方法
09-22
主要介绍了go语言base64加密解密的方法,实例分析了Go语言base64加密解密的技巧,需要的朋友可以参考下
易语言内存清零杀进程
07-16
易语言内存清零杀进程源码,内存清零杀进程,OpenProcess,ZwWriteVirtualMemory,ZwProtectVirtualMemory,ZwClose
DLL巧妙的绕过被VMP壳HOOK的ZwProtectVirtualMemory
JUST DO IT.
11-24 4146
被VMP HOOK的ZwProtectVirtualMemory介绍 ZwProtectVirtualMemory,是一个修改内存输入的API函数,VirtualProtectVirtualProtectEx修改内存属性都会通过ZwProtectVirtualMemory这个API函数. 在VMP壳的程序中,注入DLL进行一定的内存修改,但会发现,对WINAPI或者程序的代码段等进行WriteProcessMemory操作,会发现修改错误,错误提示是没有修改权限. 而WriteProcessMemo
浅析windows安全策略
深之JohnChen的专栏
04-27 6704
理论:本篇我们将通过一个例子,来大致了解下windows的安全策略。实现windows安全性的安全组件和数据库有:1。安全引用监视器Security reference monitor (简称SRM)   如图,这是位于核心态windows执行体中的一个组件。它负责: 1)定义访问令牌数据结构来表示一个安全环境。2)执行对象的安全访问检查3)管理特权(用户权限)4) 生成所有的结果安全审计消息。
mhook钩ZwProtectVirtualMemory直接崩溃的问题与解决
suprole的黑皮本
05-25 2358
Mhook_SetHook()的相关大致流程:
RING3下 内存清零法 杀进程
wowbell的专栏
01-27 5788
<br />在一般任务管理器无法关闭进程时用到<br />内存清零法 杀进程 原理分析<br />1.先打开CSRSS.EXE系统进程,获得其句柄,几乎系统所有的HANDLE结构体中,里面的ProcessId都是指向csrss.exe的,利用它的PID来进行遍历进程实现过滤。<br /><br />2.分配好一块内存空间Buffer,用来存储SystemHandleInformation系统句柄信息<br /><br />3.通过ZwQuerySystemInformation函数来查询系统句柄信息并保存在
Ring0上调用未导出Zw函数通用函数
huobengle
11-09 317
转自虾总前段时间写的一段无聊代码,可能对大家有点用。用于在驱动里调用一些没有直接导出的Zw函数,如ZwProtectVirtualMemory。在此感谢alpha提供思路。BOOLEAN CallZwFunction(CONST CHAR *FunctionName,PVOID pCallRet,ULONG ArgNum,...) { char *vl; BOOLEAN retval = FA...
易语言内核读写内存
07-22
易语言内核读写内存源码,内核读写内存,MyZwWriteVirtualMemory,取出指针,缓存指针,NrWriteVirtualMemory,NrReadVirtualMemory,NtOpenProcess,取系统位数,申请自身内存,GetProcAddress,GetModuleHandleA,取模块函数入口,写自身字节集内存,Call,取自身进程ID,十
vim用法,持续更新,用到哪写哪
ailaojie的博客
11-21 135
ESC :%s/1/2/g // 把全文的1替换成2 /末尾加g 是全局替换,不加g 只替换每行第一个
Ramnit病毒分析
好好学习,天天向上
06-25 2122
Ramnit病毒是一个相对古老的病毒,使用会感染系统内的exe和html文件,通过文件分发和U盘传播。
学习内核注射DLL到用户态进程空间
ccx_john的专栏
10-18 1139
/* InjectEye的功能是:当系统中有进程加载urlmon.dll时,注射功能代码到该进程中,修改urlmon.dll!DllMain头部的5个字节数据使之跳转到我们的功能代码中,抢先执行,即注射mxEye.dll到该进程中。 */ /* FileName:    InjectEye.h Author:    ejoyc Data    :    [03/05/2010]
某超级注入程序的驱动逆向
被遗弃的庸才博客
11-05 2344
1、起因 从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动的驱动,于是这里把驱动提取出来,简单分析一下。 1.1运行 让程序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载(简单破解一下就行,不是重点) 1.2破解之后 下一个CreateServiceA断点,让它在加载驱动之前断下,接着将驱动拷贝出来。从下图可以看到虽然驱动有签名,但是个过期签名,高版本windows10上是加载不上的。 2、驱动分析 好消息是驱动没有加壳,可以f5分析一下 2.1W.
驱动中给进程注入DLL,模拟GlobaHook,不完整,某些情况下报错
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
01-22 3244
利用 PsSetLoadImageNotifyRoutine 设置回调,等有镜像被加载的时候,根据进程PID获取基址,然后和镜像基址对比, 如果相同,则加载的是进程EXE的镜像,这个时候通过修改镜像头中的导入表 来注入DLL。 修改导入表部分的代码,是修改的MS的detours库来的。 经过测试大部分进程注入都没问题,碰到一些比较特殊的进程运行的时候会报错,请教高手。。。 一下是核心代码:
C语言——通讯录实现
最新发布
stewie6的博客
04-26 134
本文只是对于结构体类型的练习。只是简单的静态通讯录实现,没有具体的UI界面,只有一些简单的功能,同时也比较粗糙,有很多地方没有经过足够的打磨。
zwprotectvirtualmemory
06-28
### 回答1: b'zwprotectvirtualmemory' 是一个 Windows API 函数,用于保护虚拟内存区域。它可以修改内存区域的保护属性,如可读、可写、可执行和可访问级别等。通过使用此函数,可以保护应用程序的关键内存区域,防止非法访问和修改。 ### 回答2: zwprotectvirtualmemoryWindows操作系统中的一种内核函数,其作用是修改虚拟内存的保护属性。虚拟内存是操作系统中的一种资源管理机制,通过把物理内存和磁盘上的空间统一编址,使得应用程序可以使用比实际物理内存更多的内存空间,从而提高系统的运行效率。 在Windows操作系统中,每个进程都有一个独立的虚拟内存空间,它用于存储应用程序的代码、数据和堆栈等。为了保护进程的内存空间不被非法访问或者修改,Windows操作系统为每个虚拟内存页都设置了不同的访问权限,包括读、写、执行和保护等。 zwprotectvirtualmemory就是用来修改虚拟内存页的保护属性的函数。它可以使用户在运行时修改虚拟内存页的属性,以达到某些特定的需求,如保护某些关键代码、数据,避免被病毒或者非法软件修改;或者实现代码加密、虚拟机检测等安全功能。 使用zwprotectvirtualmemory函数需要用户具备一定的安全编程经验和内存管理知识,因为它可能会影响系统的稳定性和安全性。在使用过程中,用户需要注意保护好修改的虚拟内存页不被非法访问或者修改,以保障系统的稳定性和安全性。 总之,zwprotectvirtualmemoryWindows操作系统中的一种重要内核函数,它可以提供强大的内存保护和安全机制,为用户的应用程序提供更加完备可靠的内存管理机制。但是在使用过程中,用户需要注意使用方法和注意事项,以免对系统产生不好的影响。 ### 回答3: zwprotectvirtualmemoryWindows 操作系统中的一种系统调用(System Call),其作用是用于修改指定进程的虚拟内存区域的属性。 在 Windows 中,每个进程都有自己的虚拟内存空间,操作系统可以通过该调用来修改进程的虚拟内存区域的保护属性,包括读、写、执行等。同时,zwprotectvirtualmemory 还可以修改虚拟内存区域的属性,比如可以设置为只读、可写等。 该调用的具体语法如下: ``` NTSTATUS ZwProtectVirtualMemory( HANDLE ProcessHandle, PVOID* BaseAddress, SIZE_T* NumberOfBytesToProtect, ULONG NewAccessProtection, PULONG OldAccessProtection ); ``` 其中,ProcessHandle 表示要修改虚拟内存属性的进程的句柄,BaseAddress 表示要修改的虚拟内存区域的起始地址,NumberOfBytesToProtect 表示要修改的虚拟内存区域的大小, NewAccessProtection 表示修改后的虚拟内存区域的属性,OldAccessProtection 表示修改前的虚拟内存区域的属性。 需要注意的是,zwprotectvirtualmemory 是一种非常危险的调用,如果使用不当,可能会导致系统稳定性问题,包括死机、蓝屏等。因此,只有在确保自己知道该调用的工作原理以及使用方法后,才能使用该调用来修改进程的虚拟内存属性。同时,需要谨慎考虑对进程的虚拟内存权限的修改是否真正有必要,并且修改后需要对修改前后的效果进行充分测试,以确保不会对系统稳定性造成影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值