Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: Доступ к User mode памяти  (Прочитано 8584 раз)
0 Пользователей и 3 Гостей смотрят эту тему.
ILIS
Гость
« : 24-11-2005 12:42 » new

Проблема следующая:
Из драйвера я получаю указатель на PEB некоторого процесса(вызывая последовательно ZwOpenProcess, ZwQueryInformationProcess), судя по значению указатель лежит в памяти User mode, функция MmIsAddressValid возвращает FALSE, MmProbeAndLockPages вылетает с эксепшином.
Как мне зарезолвить этот адрес?
« Последнее редактирование: 24-11-2005 12:44 от ILIS » Записан
Storage Device
Гость
« Ответ #1 : 24-11-2005 16:29 » 

ZwReadVirtualMemory reads virtual memory in the user mode address range of
another process.

NTSYSAPI NTSTATUS NTAPI ZwReadVirtualMemory(
IN HANDLE ProcessHandle,
IN PVOID BaseAddress,
OUT PVOID Buffer,
IN ULONG BufferLength,
OUT PULONG ReturnLength OPTIONAL);

может она подойдет???
Записан
Krutoy
Гость
« Ответ #2 : 11-06-2006 07:37 » 

Такаяже фигня. Нужно узнать кто обратился к Zw_XXX функции, а для этого нужен PEB, а для этого нужна память процесса...
Записан
Алиса
Гость
« Ответ #3 : 23-07-2008 08:39 » 

подымаю старую тему, т.к. внятного ответа не вижу.

KAPC_STATE ApcState;
KeStackAttachProcess(process/*PEPROCESS*/, &ApcState);

читаем/пишем в адресном пространстве процесса

KeUnstackDetachProcess(&ApcState);
Записан
Ochkarik
Модератор

ru
Offline Offline
Пол: Мужской

« Ответ #4 : 23-07-2008 12:36 » 

ну да... просто раньше эта функция не документировалась.

PS чет у меня DDK как-то старый что ли... обновлять пора...
только в http://msdn.microsoft.com/en-us/library/ms796194.aspx нашел описание...
« Последнее редактирование: 23-07-2008 12:40 от Ochkarik » Записан

RTFM уже хоть раз наконец!  RTFM :[ ну или хотя бы STFW...
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines