首页
论坛
课程
招聘
[未解决,已结帖] [求助]R0中调用ZwQueryVirtrualMemory失败,无法正常用,求正确写法 50.00元
2021-2-17 15:59 2561

[未解决,已结帖] [求助]R0中调用ZwQueryVirtrualMemory失败,无法正常用,求正确写法 50.00元

2021-2-17 15:59
2561

大佬们,想问一下,在R0中调用ZwQueryVirtrualMemory一直有问题,也找不到更好的办法查虚拟内存地址的可读可写属性,有会的老哥帮帮忙吧!这个太离奇了!小小奉上,以下是代码,KeStackAttach我省略了没加进去。





BOOLEAN KeGeVirtualMemoryInformation(IN HANDLE hProcessId,IN PVOID vAddress,IN ULONG pType,OUT ULONG Protect)
{
	HANDLE Token;
	PEPROCESS pEProcess = NULL;
 	NTSTATUS nStatus = STATUS_SUCCESS;
	MEMORY_BASIC_INFORMATION memoryinfor;
	PSIZE_T oo;

	nStatus = PsLookupProcessByProcessId(hProcessId, pEProcess);
    if (!NT_SUCCESS(nStatus)) return nStatus;
   
    __try 
	{
		nStatus=ZwQueryVirtualMemory(hProcessId,vAddress, MemoryBasicInformation,&memoryinfor,sizeof(MEMORY_INFORMATION_CLASS), oo);

		if (NT_SUCCESS(nStatus)) 
		{
			Protect = memoryinfor.Protect;
		}

  	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
 		return nStatus;
	}

	return nStatus;
}



[公告] 2021 KCTF 春季赛 防守方征题火热进行中!

收藏
点赞0
打赏
分享
最新回复 (3)
雪    币: 1891
活跃值: 活跃值 (502)
能力值: ( LV3,RANK:10 )
在线值:
发帖
回帖
粉丝
のばら 活跃值 2021-2-17 20:35
2
0
1.PsLookupProcessByProcessId参数二是指针
2.ProcessHandle≠ProcessId
3.try没必要加
雪    币: 30
活跃值: 活跃值 (178)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
月生沧海 活跃值 2021-2-20 14:59
3
0
のばら 1.PsLookupProcessByProcessId参数二是指针 2.ProcessHandle≠ProcessId 3.try没必要加
还是不可呀 蓝就对了
雪    币: 229
活跃值: 活跃值 (919)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Mxixihaha 活跃值 2021-2-27 11:39
4
0
月生沧海 还是不可呀 蓝就对了


你的参数用错了啊.  


错误一:

nStatus = PsLookupProcessByProcessId(hProcessId, pEProcess); 


修改

nStatus = PsLookupProcessByProcessId(hProcessId, &pEProcess);  //加 &符号





错误二:

 nStatus=ZwQueryVirtualMemory(hProcessId,vAddress, MemoryBasicInformation,&memoryinfor,sizeof(MEMORY_INFORMATION_CLASS), oo);

 


-------------------修改流程代码------------------

第一步:

ZwOpenProcess(hProcessId....); //获取 hProcess


第二步:

 nStatus=ZwQueryVirtualMemory(hProcess,vAddress, MemoryBasicInformation,&memoryinfor,sizeof(MEMORY_INFORMATION_CLASS), oo);


注意看 ZwQueryVirtualMemory 的参数一



最后于 2021-2-27 11:45 被Mxixihaha编辑 ,原因:
游客
登录 | 注册 方可回帖
返回