防止内存页被修改(重映射)

最新推荐文章于 2021-11-09 22:24:24 发布
最新推荐文章于 2021-11-09 22:24:24 发布
阅读量2.2k 收藏 7
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 内核 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u014738665/article/details/121222823
本文探讨了一种在Windows环境下通过修改VAD属性和MMVAD_FLAGS.Protection值,如何绕过内存保护机制,实现对内存的正常修改。具体步骤涉及NTDLL库的ZwCreateSection和ZwMapViewOfSection函数,适用于32位Win7系统和VS2019编译器环境。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考资料:

1、PUBG 2018.3.9更新的代码页防止更改

2、通过修改VAD属性破除锁页机制

3、R3环申请内存时页面保护与_MMVAD_FLAGS.Protection位的对应关系

4、64位CreateProcess逆向:(四)创建进程的过程

5、深入浅析Windows内核——VAD篇

6、Self-Remapping-Code

虚拟机:VM15

系统:Win7 32位

编译器:VS2019

工具:CE6.5

代码如下:

#include <stdio.h>
#include <Windows.h>
#include <stdlib.h>

#define InitializeObjectAttributes( p, n, a, r, s ) { \
    (p)->Length = sizeof( OBJECT_ATTRIBUTES );          \
    (p)->RootDirectory = r;                             \
    (p)->Attributes = a;                                \
    (p)->ObjectName = n;                                \
    (p)->SecurityDescriptor = s;                        \
    (p)->SecurityQualityOfService = NULL;               \
    }
typedef struct _UNICODE_STRING {
        USHORT Length;
        USHORT MaximumLength;
        PWSTR  Buffer;

} UNICODE_STRING, * PUNICODE_STRING;

 typedef struct _OBJECT_ATTRIBUTES {
        ULONG           Length;
        HANDLE          RootDirectory;
        PUNICODE_STRING ObjectName;
        ULONG           Attributes;
        PVOID           SecurityDescriptor;
        PVOID           SecurityQualityOfService;

}  OBJECT_ATTRIBUTES, * POBJECT_ATTRIBUTES;

 typedef  DWORD(WINAPI* ZwCreateSectionProc)(
        PHANDLE            SectionHandle,
        ACCESS_MASK        DesiredAccess,
        POBJECT_ATTRIBUTES ObjectAttributes,
        PLARGE_INTEGER     MaximumSize,
        ULONG              SectionPageProtection,
        ULONG              AllocationAttributes,
        HANDLE             FileHandle
);

 typedef enum _SECTION_INHERIT {
        ViewShare = 1,
        ViewUnmap = 2

} SECTION_INHERIT;

 typedef DWORD(WINAPI* ZwMapViewOfSectionProc)(
        HANDLE SectionHandle,
        HANDLE ProcessHandle,
        PVOID* BaseAddress,
        ULONG_PTR ZeroBits,
        SIZE_T CommitSize,
        PLARGE_INTEGER SectionOffset,
        PSIZE_T ViewSize,
        SECTION_INHERIT InheritDisposition,
        ULONG AllocationType,
        ULONG Win32Protect
);
int main()
{
        system("pause");
        HMODULE h = LoadLibraryA("ntdll.dll");
        ZwCreateSectionProc ZwCreateSection = (ZwCreateSectionProc)GetProcAddress(h, "NtCreateSection");
        ZwMapViewOfSectionProc ZwMapViewOfSection = (ZwMapViewOfSectionProc)GetProcAddress(h, "ZwMapViewOfSection");
        HANDLE SectionHandle;
        LARGE_INTEGER MaximumSize = { 0 };
        MaximumSize.QuadPart = 0x10000;
        OBJECT_ATTRIBUTES obj = { 0 };
        InitializeObjectAttributes(&obj, NULL, 0x40, 0, 0);
        DWORD error = ZwCreateSection(&SectionHandle, SECTION_ALL_ACCESS, NULL, &MaximumSize, PAGE_EXECUTE_READ, SEC_COMMIT, NULL);
        PVOID BaseAddress = NULL;
        SIZE_T ViewSize = 0;
        error = ZwMapViewOfSection(SectionHandle, GetCurrentProcess(), &BaseAddress, 0,
                     0x10000, NULL, &ViewSize, (SECTION_INHERIT)1, 0, PAGE_EXECUTE_READ);
        printf("%x,%x\r\n", BaseAddress, SectionHandle);
        DWORD p = 0;
        error = VirtualProtect(BaseAddress, 0x10000, PAGE_EXECUTE_READWRITE, &p);
        system("pause");
        return 0;
 }

现在CE工具就无法修改内存了

破解方法:

修改_MMVAD_FLAGS.Protection  

运行前:

 运行后:

命令:dt _mmvad 9c9fefc0

需要将Protection的值修改成4

改成4即可

 现在就可以正常修改了

WINDOWS和LINUX的内存防护机制
x_nirvana的博客
03-11 6164
一、windows下的内存保护机制0x00、二进制漏洞二进制漏洞是可执行文件(PE、ELF文件等)因编码时考虑不周,造成的软件执行了非预期的功能。二进制漏洞早期主要以栈溢出为主。我们都知道在C语言中调用一个函数,在编译后执行的是CALL指令,CALL指令会执行两个操作:(1)、将CALL指令之后下一条指令入栈。 (2)、跳转到函数地址。函数在开始执行时主要工作为保存该函数会修改的寄存器的值和申请局
驱动开发系列07 - 内存映射和DMA
最新发布
GPU全栈博主
07-20 973
本文深入探讨 Linux 内存管理子系统,重点介绍对设备驱动程序编写者有用的技术。许多类型的驱动程序编程都需要对虚拟内存子系统的工作原理有一定的了解;当我们编写一些更复杂、对性能要求更高的驱动时,本文所涉及的内容就会派上用场。虚拟内存子系统也是 Linux 核心内核中非常有趣的一部分,因此值得一看。本文内容分为三节:第一节涉及 mmap 系统调用的实现,该调用允许将设备内存直接映射到用户进程的地址空间。将设备内存直接映射到用户进程的地址空间。
内存保护防内存篡改文档
09-05
文档介绍了内存保护的相关知识,给出了堆溢出和栈溢出的防护方法,介绍了基于内存自省技术的虚拟机安全防护策略
如何防止工具(八门神器)进行内存修改()
weixin_33897722的博客
09-13 419
思路: 将一个值存两份,一个是明文,一个是使用加密算法加密的。 取值时将将明文与加密的值进行比较(加密算法是非对称的);如果使用对称的加密算法,一个值就不用存放两份了,直接存个加密值即可。 http://***/newsInfo?id=284&amp;v=3   http://www.iteye.com/topic/1135359  ...
防止工具(八门神器)进行内存修改的方法
opzoonzhuzhengke的专栏
05-25 2036
http://www.eoeandroid.com/home.php?mod=space&uid=1297371&do=blog&id=48170
如何防止工具(八门神器)进行内存修改
chupu2979的博客
06-24 538
Android内存修改器有很多。拿其中的比较出名的八门神器来说,该应用通过修改正在运行的游戏的内存数据,可以非常方便地修改游戏的HP、MP、生命数等等参数。辛辛苦苦开发的游戏或应用被修改器一修改就悲催了。 下面就通过一个...
ARM芯片地址重映射技术解析
通过这种方式,地址重映射不仅提供了灵活性,还能够保护某些关键区域的内存,如防止意外修改系统关键数据或防止代码执行的安全威胁。 在LPC2131中,开发者可以通过配置寄存器来实现地址重映射,这涉及到对微控制器...
ARM芯片地址重映射原理与应用
2. 内存保护:通过重映射,可以隔离和保护敏感区域,防止非法访问或修改。 3. 资源共享:多个模块可以共享同一物理资源,但通过不同的虚拟地址访问,提高了资源利用率。 4. 动态配置:在系统运行时,可以根据需要...
2.1试述 IAP 编程和 ISP 编程。 2.2何为存储器映射? 2.3何为重映射? 2.4何为引导块? 2.5为什么引导块需要重映射? 2.6何为异常向量表? 2.7为什么异常向量表要作重映射? 2.8为什么地址前8个字的内容相加会等于0,有何用途? 2.9何为启动代码,有何用途? 2.10何为 PLL ,若晶振为12Mhz,要求 Fcclk 为60Mhz,如何初始化并启动 PLL ? 2.11 Boot Block 在复位的过程中是如何运行的? 2.12 芯片如何实现节能? 2.13 系统采用了哪些方法实现存储器加速的? 2.14 完成一条指令需要多少个 CPU 时钟周期?如何确定它的用法? 2.15一个8位总线的外部存储器跟ARM7单片机系统连接有什么连接方式?各种连接方式的依据是什么?
04-23
2.5 引导块需要重映射,是因为在引导块执行时,系统内存的映射关系可能发生了变化。 2.6 异常向量表是一段预定义的内存区域,其中包含了处理器的异常和中断服务程序的地址。 2.7 异常向量表需要作重映射,是因为在...
Remap-Memory-Region:在运行时如何更改内存区域的初始权限的基本示例
04-16
重映射内存区域 其他用法示例 简介-众所周知! 就像在《权力的游戏所说的那样, 。 众所周知,您不能将“ 设置为大于初始级别。 我这么说,但我找不到来源。 我确定Microsoft会在某个地方写下它,所以去找到它并拉...
CocosCreator 防内存修改
gamedaybyday
10-26 724
版本:2.4.3 参考: 如何防止工具(八门神器)进行内存修改 修改内存工具,类似以前玩仙剑奇侠传的修改器金手指之类,查找金币1000,然后金币改变到1200,再查找1200。 根据多次查找锁定金币的内存位置,然后修改为99999. 可以将保存的关键数据进行异或后保存,取出来时才经过异或获取。或者和参考中一样使用md5等方式将数据改变后再保存,避开内存修改器直接查找数值来进行修改。 @...
【Android 逆向】函数拦截 ( 修改内存页属性 | x86 架构插桩拦截 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-09 1365
一、修改内存页属性、 二、x86 架构下的插桩拦截、
【理解】如何在内存中篡改数据
ToBeAMensch
07-18 1352
今天继续看《Linux程序设计第四版》,发现了一个很好玩的东西。数据如果读入内存了,怎么去修改...另外各类基本的C语言函数用法也过了一遍。 #include #include #include #include #include typedef struct{ int integer; char string[24]; } RECORD; #define NRECORDS (100)
使用32位 Windows 操作系统时避免内存问题的五个建议
cuchou5321的博客
06-02 187
注:文档中需要参考的文档链接,需要有oracle support账户才能查看。如果需要查看那篇文档,可以微信我(pxboracle)。 在过去十年,Windows 服务器操作系统无论是对于新兴公司还是对于老公司而言都已经...
Win64 驱动内核编程-27.强制读写受保护的内存
zz_strive_2012的专栏
12-10 1682
强制读写受保护的内存 某些时候我们需要读写别的进程的内存,某些时候别的进程已经对自己的内存读写做了保护,这里说四个思路(两个R3的,两个R0的)。 方案1(R3):直接修改别人内存 最基本的也最简单的就是直接通过WriteProcessMemory 和 ReadProcessMemory对没有进行保护的程序的内存进行修改,一些单机游戏辅助什么的可能会有这种简单方式修改其他进程内存。 方案2(R3...
SSDT Hook之修改内存保护
Jack码•农的专栏
09-26 1168
Windows系统对部分内存写了保护,防止内存也被修改,比如xp 和 2003,它们使得SSDT变成只读的表,以此来防止任何应用程序来修改这个表。   有两种方法可以绕过写保护,一种是修改控制寄存器的CR0中的写保护位来绕过,另一种是利用MDL(Memory Descript
示例程序033--重映射
DUKE的博客
01-18 359
重映射: 把一个图像中一个位置的像素放置到另一个图片指定位置的过程. 为了完成映射过程, 有必要获得一些插值为非整数像素坐标,因为源图像与目标图像的像素坐标不是一一对应的.     简单的说就是改变图片的位置(左,右,上,下,颠倒)。程序比较简单,主要是x,y坐标的重映射,以及函数remap()的使用     void remap(InputArray src,
内核 HOOK ZwMapViewOfSection
残酷な天使
10-06 3861
转自:http://lwglucky.blog.51cto.com/1228348/284829  有部分模块加载时会调用ZwMapViewOfSection,比如进程创建时映射N份DLL到自己的虚拟空间中去.我们替换SSDT中的这个函数,过滤出是加载Kernel32.
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值