请教个OpenProcess的问题，谢啦-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 请教个OpenProcess的问题，谢啦 0.00雪花

发表于: 2016-11-5 21:05 2740

[旧帖] 请教个OpenProcess的问题，谢啦 0.00雪花

trampshi

2016-11-5 21:05

2740

我要读取某个进程的内存，采用的是先DLLCALL(kernel32.dll）的openprocess获得句柄，然后再ReadProcessMemory，但是得到的内存结果都是0，后来我发现是openprocess的dwDesiredAccess参数不对，我无法取得该进程的完全权限甚至读的权限都不行。但换了另一个进程结果就正常，我怀疑是该进程有内存保护，然后我用ce打开该进程，是可以看到它内存数据的。那么问题来了：
1. 该进程是如何防止被其他进程通过openprocess打开的，如何去掉该保护
2. CE为何能打开并读取受保护进程的内存数据的？

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・0

免费・0

支持

最新回复 (2)
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 2 楼可能驱动里面HOOK了NtOpenProcess，打开指定的程序就被过滤掉某些权限。CE有驱动的，可以直接ObOpenObjectByPointer，或者KeStackAttachProcess，不用走NtOpenProcess 你可以看CE源码 d4bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6U0K9r3g2S2N6q4)9J5k6r3g2F1k6$3W2F1k6g2)9J5c8X3y4Z5k6h3q4@1i4K6u0V1k6h3&6Y4K9h3&6W2 2016-11-5 21:14 0
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 3 楼神tm CE有驱动 LZ你直接说你要打开的是什么进程吧。是游戏的吗? 2016-11-6 11:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

trampshi

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
瀚海云烟雪币： 293 活跃值： (287) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 531 粉丝 1 关注私信	瀚海云烟 1 2 楼可能驱动里面HOOK了NtOpenProcess，打开指定的程序就被过滤掉某些权限。CE有驱动的，可以直接ObOpenObjectByPointer，或者KeStackAttachProcess，不用走NtOpenProcess 你可以看CE源码 d4bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6U0K9r3g2S2N6q4)9J5k6r3g2F1k6$3W2F1k6g2)9J5c8X3y4Z5k6h3q4@1i4K6u0V1k6h3&6Y4K9h3&6W2 2016-11-5 21:14 0
hzqst 雪币： 12876 活跃值： (9352) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1795 粉丝 606 关注私信	hzqst 3 3 楼神tm CE有驱动 LZ你直接说你要打开的是什么进程吧。是游戏的吗? 2016-11-6 11:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复