R0中HOOK读写内存句柄转换问题

最新推荐文章于 2023-06-12 22:02:54 发布
最新推荐文章于 2023-06-12 22:02:54 发布
阅读量1.3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012187684/article/details/20837807
版权
NtReadVirtualMemory(
        IN HANDLE ProcessHandle,
        IN PVOID BaseAddress,
        OUT PVOID Buffer,
        IN ULONG BufferLength,
        OUT PULONG ReturnLength OPTIONAL)
判断目标ProcessHandle的PID是否等于要保护的,我用
PROCESS_BASIC_INFORMATION pbi;
ns = ZwQueryInformationProcess(ProcessHandle, ProcessBasicInformation, (PVOID)&pbi, sizeof(ProcessBasicInformation), NULL);
pid = pbi.UniqueProcessId;
转换结果不对都是负数了,请教用什么方法把ProcessHandle转成PID呢?
陈刚12
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hook内存读写
01-27
Hook内存读写不解释.。 更好的操作。
Hook内存读写源代码
12-10
Hook内存读写的源代码 包含模块 直接可编译
易语言远程HOOK监视内存读写源码-易语言
06-13
易语言远程HOOK监视内存读写源码
[驱动开发] 手写 r0 hook(NtOpenProcess 为例)
LYSM
11-09 1405
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用文命名,有些编译器不支持文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT的结构 typedef struct _SYSTEM_SERVICE_TABLE { PLONG ServiceTableBase; PVOI
SSDT HOOK 内存写保护
Rodney443220的专栏
06-14 1215
有些人说不去掉也不会蓝屏,照样能HOOK成功 确实,我当时也是这样过。。。 不过拿给别人机器一测试就蓝了 网上找到了MJ给出的答案: 当使用大页面映射内核文件时,代码段和数据段在一块儿,所以页必须是可写的,这种情况下直接改是没有问题的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memor
易语言对64位程序内存读写操作纯模块源码
05-27
在本例,模块可能包含了一系列的子程序或函数,用于处理64位内存地址的转换、权限检查、错误处理以及实际的读写操作。 64位内存读写的关键步骤包括: 1. 打开目标进程:通过`OpenProcess`函数获取目标进程的句柄...
补丁模块(带源码)InlinePatch,Hook内存DLL注入等等
09-24
子程序 读内存字节集, 字节集, 公开, 从内存读取字节集数据(返回字节集,失败返回0字节长度的空字节集) .参数 进程ID, 整数型, , 进程ID .参数 地址, 整数型, , 内存地址 .参数 长度, 整数型, , 欲读取内存数据的...
易语言 茶凉专用模块
05-04
模块名称:茶凉专用模块 作者:茶凉 版本:2.0 本模块可以编程更简单...子程序 读内存长整数型, 长整数型, 公开, 从内存读取长整数型数据,失败返回失败内容 .参数 进程ID, 整数型, , 进程ID .参数 地址, 整数型, , ...
精易模块[源码] V5.15
03-21
2、改善“类_内存读写内存失败返回不正确值问题。感谢易友【stft】建议。 3,网页访问_对象()增加一个参数,用来保存网页返回状态代码。 4、改善(字节集_取左边|取右边|取间)与未公开子程序重复,改名为 字节...
寒江独钓-Windows内核安全编程(高清完整版).part7
01-04
7.8.5 把短名转换为长名 211 7.9 把sfilter编译成静态库 212 7.9.1 如何方便地使用sfilter 212 7.9.2 初始化回调、卸载回调和绑定回调 213 7.9.3 绑定与回调 215 7.9.4 插入请求回调 216 7.9.5 如何利用sfilter.lib ...
Hook 与 抓包
12-07
Hook 与 抓包(记一次 Hook 与 抓包.doc)
HOOK读入文件转向内存-易语言
06-12
HOOK CreateFileW 将指定路径的文件转向内存 达到磁盘无文件返回指定数据内容该HOOK代码来自xx作坊4.0(稳定性不明) 可自行替换精易的APIHOOK
Windows平台实现内存hook,改写别人的函数
&Ψ的博客
06-23 3653
内存Hook 功能: 把其他人写的函数或者库的函数在调用的时候跳转到自己写的函数 1.实现所用到的Windows api //写入进程内存 WriteProcessMemory( PVZ_handle, //进程句柄 (LPVOID)address, //起始地址 date, //写入数据 sizeof(date), //写入长度 NULL);//返回值非零值代表成功。 //读进程内存 BOOL ReadProcessMemory( HANDLE hProcess,//进程句柄 PVOID pvAdd
R0下Inline Hook模板
yxuenong的专栏
12-14 814
InlineHook 已导出函数 VOID   HookObReferenceObjectByHandle() {       KIRQL Irql;     KdPrint(("[ObReferenceObjectByHandle] :0x%x",ObReferenceObjectByHandle));  //地址验证     //保存函数前五个字节内容     Rtl
r0下多核hook
hongduilanjun的博客
03-23 1684
文章首发奇安信攻防社区:https://forum.butian.net/share/1361 r0层多核下hook高并发函数存在的问题是:在使用如memcpy的时候,无法一次性拷贝5个字节的硬编码。即有可能拷贝到一半,别的线程去执行了代码导致蓝屏。 解决的办法有: 短跳断门 找一条一次性修改8字节的指令 这里将使用第三种方法实现。 SwapContext 这是线程切换核心函数,Windows几乎无时无刻在执行这个函数,所以属于是高并发函数。 本文将在多核环境下通过hook SwapCont
Window系统内存读写API简易阅读笔记---从R3到R0
u011442768的博客
10-23 1778
以前一直都在用Read/WriteProcessMemory这个API读写内存,也没探究过Windows怎么实现的内存读写,这几天就了解了解这一部分。 打开IDA,拖入KernelBase.dll(因为Kernel32.dll的ReadProcessMemory会调转到KernelBase这里),定位到API。 BOOL __stdcall ReadProcessMemory(HANDLE hProcess, LPCVOID lpBaseAddress, LPVOID lpBuffer, SIZE_T
64位驱动开发之R3与R0通信交换数据,读写数据测试
最新发布
a756598009的博客
06-12 557
以上就是64位驱动开发之R3与R0通信交换数据,读写数据测试的全部代码了。
Hook技术简介
tubaluer
08-30 164
钩子(Hook),是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。 钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到...
hook zwduplicateobject 防止句柄被复制。。。
xum2008的专栏
06-09 2188
<br />具体方法,是在这个函数体判断,现将其下发,得到复制后的句柄后,通过ZwQueryInformationProcess 查询,得到持程序的 pid ,最后,与我们的程序的PID 比较,如果是我们要保护的,则将其句柄值清0 ,返回访问错误。。。<br /> <br />这里我犯了三个错误:<br />1:使用函数的时候,没有注意函数是否有效,也就是,在使用一些可能被别人挂钩过的函数时,我们还是先通过自己搜索比较好。<br />2:在函数,只需要调用一次底层的函数就可以了<br />3:在发现时我
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值