首页
论坛
课程
招聘
[求助]内核调用ZwProtectVirtualMemory 返回C0000005错误
2021-9-6 13:39 2281

[求助]内核调用ZwProtectVirtualMemory 返回C0000005错误

2021-9-6 13:39
2281

难搞,返回status是-1073741819 查了一下是C0000005 非法访问,搞不明白哪里非法了!

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
ULONG KernelVirtualProtect(HANDLE pid, PVOID addr, ULONG size, ULONG protect)
{
  ULONG OldProtect = -15942;
  PEPROCESS process;
  NTSTATUS status;
  SIZE_T alloc_pagesize = 8;
  KAPC_STATE apc_state;
  PsLookupProcessByProcessId(pid, &process);
  KeStackAttachProcess(process, &apc_state);
  status =pfn_ZwProtectVirtualMemory(ZwCurrentProcess(),&addr, &alloc_pagesize,PAGE_EXECUTE_READWRITE,&OldProtect);
  if (!NT_SUCCESS(status))
  {return status;}
  KeUnstackDetachProcess(&apc_state);
  ObDereferenceObject(process);
  return OldProtect;
  }

【公告】看雪团队招聘安全工程师,将兴趣和工作融合在一起!看雪20年安全圈的口碑,助你快速成长!

收藏
点赞0
打赏
分享
最新回复 (8)
雪    币: 10657
活跃值: 活跃值 (4532)
能力值: ( LV9,RANK:270 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2021-9-6 15:17
2
0
你这pfn_ZwProtectVirtualMemory是哪来的
雪    币: 3134
活跃值: 活跃值 (581)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
layerfsd 活跃值 4 2021-9-6 17:09
3
0
hzqst 你这pfn_ZwProtectVirtualMemory是哪来的
pFnZwProtectVirtualMemory pfn_ZwProtectVirtualMemory = NULL;
雪    币: 198
活跃值: 活跃值 (1241)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yy虫子yy 活跃值 2021-9-6 17:23
4
0
应该是参数不匹配,单步跟踪一下,有你想要的C5惊喜
雪    币: 10657
活跃值: 活跃值 (4532)
能力值: ( LV9,RANK:270 )
在线值:
发帖
回帖
粉丝
hzqst 活跃值 3 2021-9-6 18:07
5
0
layerfsd pFnZwProtectVirtualMemory pfn_ZwProtectVirtualMemory = NULL;
你没给这玩意赋值吗?还是说pfn_ZwProtectVirtualMemory=找"NtProtectVirtualMemory"?
雪    币: 2440
活跃值: 活跃值 (2693)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
baikaishiu 活跃值 2 2021-9-6 18:12
6
0
hzqst 你没给这玩意赋值吗?还是说pfn_ZwProtectVirtualMemory=找"NtProtectVirtualMemory"?
和大表哥合影
雪    币: 53
活跃值: 活跃值 (538)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
月生沧海 活跃值 2021-9-6 19:50
7
0
hzqst 你这pfn_ZwProtectVirtualMemory是哪来的
动态定位到的啊,抄的BB啊,这里就是返回C5裂开
雪    币: 25
活跃值: 活跃值 (350)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
CIVIL哈 活跃值 2021-9-7 11:11
8
0
ZwCurrentProcess()换ObOpenObjectByPointer打开的内核句柄
雪    币: 53
活跃值: 活跃值 (538)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
月生沧海 活跃值 2021-9-7 12:40
9
0
CIVIL哈 ZwCurrentProcess()换ObOpenObjectByPointer打开的内核句柄
亲亲这两个打开的句柄有什么区别吗!!!
游客
登录 | 注册 方可回帖
返回