在地址0上分配内存

最新推荐文章于 2022-07-31 08:27:28 发布
最新推荐文章于 2022-07-31 08:27:28 发布
阅读量300 收藏 1
点赞数 1
文章标签: python
原文链接:https://my.oschina.net/sincoder/blog/336287
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

在 NULL 地址上分配内存看似是不可行的 ,因为对于内存分配函数  

NTSTATUS ZwAllocateVirtualMemory(
  _In_     HANDLE ProcessHandle,
  _Inout_  PVOID *BaseAddress,
  _In_     ULONG_PTR ZeroBits,
  _Inout_  PSIZE_T RegionSize,
  _In_     ULONG AllocationType,
  _In_     ULONG Protect
);

你将 BaseAddress 指向 0 传入,这个函数会认为你是想在任意可用的地址上分配内存,而不是0 (系统不会把0地址内存当中可用到 )。绕过的方法就是指定 AllocationType 为MEM_TOP_DOWN 也就是从上向下分配内存 ,此时指定 BaseAddress 为一个 低地址,例如 1,同时指定分配内存的大小 大于这个值 ,例如 8192(一个内存页),这样分配成功后 地址范围就是 0xFFFFE001 (-8191) 到 1 把 0 地址包含在内了,此时再去尝试向 NULL 指针执行的地址写数据,会发现程序不会异常了 。

    这个说到底是微软实现该函数的时候没有考虑全面导致一些安全措施被绕过 (0地址分配内存,应用层可以在高地址(内核空间)分配内存),在最新的系统补丁中微软已经修复了这个漏洞。

    该技巧主要利用在漏洞的利用上,例如使用 null 指针,或者函数失败返回负数,程序没有检查返回值,把这个负数当中指针来使用。这些情况可以使用这个技巧来利用漏洞。

 测试代码

// testnull.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <Windows.h>

typedef NTSTATUS ( __stdcall *P_ZwAllocateVirtualMemory)(
	_In_     HANDLE ProcessHandle,
	_Inout_  PVOID *BaseAddress,
	_In_     ULONG_PTR ZeroBits,
	_Inout_  PSIZE_T RegionSize,
	_In_     ULONG AllocationType,
	_In_     ULONG Protect
	);


int _tmain(int argc, _TCHAR* argv[])
{
	HMODULE hnt = LoadLibraryA("ntdll.dll");
	P_ZwAllocateVirtualMemory pfZwAllocateVirtualMemory = (P_ZwAllocateVirtualMemory)GetProcAddress(hnt, "ZwAllocateVirtualMemory");
	ULONG base = 1;
	PVOID *p = (PVOID *)&base;
	SIZE_T s = 8192;
	ULONG eax = pfZwAllocateVirtualMemory((HANDLE)-1, p, 0, &s, MEM_COMMIT | MEM_RESERVE | MEM_TOP_DOWN, PAGE_EXECUTE_READWRITE);
	if (eax != 0)
	{
		printf("error %08x ",eax);
	}

	char *c = 0;
	*c = 'x'; //不会异常
	return 0;
}


转载于:https://my.oschina.net/sincoder/blog/336287

weixin_34221036
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
0分配不到地址_ncnn初探一: 内存的分配和释放
weixin_39929096的博客
12-15 352
1. 读完本章你可以学到的知识点什么是内存对齐的分配内存对齐分配如何在ncnn里实现: ncnn::fastMalloc, ncnn::fastFree完整可运行简短代码见文末2. 什么是内存对齐的分配方式?最开始我看到这个问题时, 也是一脸疑惑, 现在我解释一下: 我们知道在任何程序中, 分配的内存肯定是有一个地址的. 现在假设分配了一个对象a, 它在内存的地址为x(指初始地址, 也就是这块内存...
c/c++变量在内存中的分配
08-20
C/C++变量在内存中的分配 C/C++变量在内存中的分布是一个非常重要的基础知识点,在笔试中经常考到,虽然简单,但也容易忘记。因此,我们需要加深对C/C++变量在内存中的分布的理解。 首先,需要了解C/C++变量在内存...
C陷阱与缺陷 第7章 可移植性缺陷 7.6 内存位置0
weixin_客子光阴的博客
07-31 57
C陷阱与缺陷 第7章 可移植性缺陷 7.6 内存位置0
汇编:内存地址为什么从0开始?等问题
m0_37564426的博客
11-17 2688
内存地址的最小单元是byte(字节)  1byte = 8bit,  1kb = 1024byte, 1mb = 1024kb, 1gb = 1024mb   内存地址为什么从0开始?    地址线决定了cpu能够找到多大的地址,这就是寻址能力.     如果只有1根地址线,  那么只能找到0,1两个地址。     如果只有2根地址线,  那么只能找到00,01,10,11四个地址。 ...
arm9不同启动方式的0地址对应的内存
weixin_38397140的博客
12-01 641
使用NAND FLASH启动时,0地址对应的内存是内部sram也就是stepping stone,启动时会自动将flash的4K代码复制到stepping stone中执行。此时Bank0挂载的内存就是stepping stone,也就是说0地址对应的也是stepping stone中的0地址。 使用nor flash启动时,在硬件上,一般我们会把nor flash的片选信号接到nGCS0上,也就...
0地址
qq_44767162的博客
03-13 713
0地址解析 #define _CRT_SECURE_NO_WARNINGS #include&amp;amp;lt;stdio.h&amp;amp;gt; #include&amp;amp;lt;stdlib.h&amp;amp;gt; void swap(int *a, int *b) { int *tmp = NULL; *tmp = *a; *a = *b; *b = *tmp; } int main( void) { int a, b; a =...
NEICUN.rar_内存分配算法_模拟内存分配
最新发布
09-14
- 使用位图,可以将内存空间映射到一个足够大的二进制数组,分配内存时找到第一个连续的1序列并将其置0,释放时将相应位置回1。 6. 示例代码 `NEICUN.doc` 文件可能包含了C语言实现内存分配算法的详细代码,而 `...
二维指针动态分配内存连续问题深入分析
09-05
当需要动态地分配内存来存储这些数据时,必须注意内存的连续性,因为这将直接影响到程序的效率和内存管理。本篇文章将深入探讨两种不同的二维指针动态内存分配方法及其对内存连续性的影响。 首先,我们来看第一种...
内存分配
02-20
在实现上,这通常意味着在分配内存后,需要遍历整个内存块并设置每个字节为0。 realloc函数用于改变已分配内存块的大小。如果新大小小于原大小,它会释放多余的内存;如果新大小大于原大小,它会在原始内存块附近...
c语言动态内存分配知识点及实例
08-24
它允许程序员在不知道数据规模的情况下分配内存,从而提高了程序的灵活性。本文将深入探讨动态内存分配的关键知识点并提供实例。 1. **malloc() 函数**: `malloc()` 是 C 语言中用于动态内存分配的函数,其原型为...
易语言内存读写源码
02-19
易语言内存读写源码
内存
weixin_43665091的博客
11-14 282
一、 存储单位 内存最小的存储单位是字节 内存为每个字节分配了一个编号,即内存的地址地址位数固定,为二进制。 |32位系统|编号的位数是32位 |进制是二进制 011…0010 4B |64位系统|编号的位数是64位 |进制是二进制 011…0010 8B 二、 数据存储 内存存的是二进制数据,以一个字节为例: 1、 无符号数:只有正数,不带正负号。 范围 0000 0000---...
程序地址空间详解
didi1663478999的博客
08-11 1227
程序地址空间布局图 来段代码感受一下 #include<stdio.h> #include<unistd.h> #include<stdlib.h> int g_val = 0; in...
0地址的妙用(CVE-2009-2692)
莫灰灰的专栏
06-26 3350
/* 本文章由 莫灰灰 编写,转载请注明出处。   作者:莫灰灰    邮箱: minzhenfei@163.com */ 漏洞成因 其实0地址的妙用在windows上也有很多的利用,在windows的主动防御开发过程中,很多病毒都是用NULL地址来绕过主防的拦截。原理其实也很简单,因为开发主防的程序员经常会在自己的hook函数开头检查传进来的参数,例如if (par
又发现一篇强文,收藏收藏--------------WinCE内存管理(二)
wuan584974722的专栏
02-03 752
又发现一篇强文,收藏收藏--------------WinCE内存管理(二) (2007-07-19 17:51:56) 转载▼   分类: 工作   内存分配的不同类型        一个Windows CE 应用程序有许多不同的内存分配方式。在内存食物链的底端是Virtualxxx 函数,它们直接保留,提交和释放(free)虚拟内存页
内核级结束进程c代码
xinew的专栏
10-11 2108
  #include     #include     #include    #include     #pragma comment (lib,"ntdll.lib")    // Copy From DDK    #pragma comment (lib,"Kernel32.lib")    #pragma comment (lib,"Advapi32.l
操作系统:内存分配(C语言 winapi)
weixin_34242819的博客
05-27 690
要求实现: 编写一个程序,创建两个线程,一个用于内存分配,另一个用于跟踪内存的分配情况并打印信息。 将VirtualAlloc函数的参数ftAllocahonType分别改为MEM_RESET或MEM_TOP_DOWN,将nProtect参数分别改为PAGE_GUARD、PAGE_NOACCESS或PAGE_NOCACHE,再进行本实验的各项操作,以及查看内存分配的各个结果,分析原因。 ...
进程的虚拟地址空间
liuzhi1218的专栏
03-31 1776
32位机器,每个程序有4G的虚拟地址空间。大致分为4块,从低地址到高地址依次是:NULL区,用户区,隔离区,核心区。用户私有的数据都在用户区(当然这个区里又可以细分,其中也包括一部分可以共享的内容),系统内核等东西都在核心区。总体来说,A进程的虚拟地址空间中的内容和B进程相比,只有各自的用户区不一致。通常用户区中,进程又会将exe文件(由头数据和段数据组成)中定义的代码段、堆栈段、数据段等各个段映
C++动态内存分配与new delete操作
分配时,如果申请成功,new会返回分配内存的首地址,失败则返回0或NULL。释放内存则使用delete运算符,确保不再使用的内存得到正确回收。 **new运算符**有多种用法: - **动态创建单个对象**:`指针变量=new 类型名...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值