取地址内存属性问题

幸福长久

dnxl 发表于 2024-7-17 14:18
哪里判断不准？

你用CE看这个地址属性好吧。题目内容我都说了，我要的是当前属性的最原始第一次属性

幸福长久

qq793359277 发表于 2024-7-17 14:20
怎么就这么固执呢？在你的认知里它就是无法取到？既然发帖就不要以自己的眼界看待问题，因为能否理解完全 ...

固执什么？你知道我需求是什么没有？说了你也不懂？还有点评就是真的？

你只顾说你的，而不看我说的是什么

qq793359277

幸福长久 发表于 2024-7-17 14:31
固执什么？你知道我需求是什么没有？说了你也不懂？还有点评就是真的？

你只顾说你的，而不看我说的是什 ...

真的固执

幸福长久

qq793359277 发表于 2024-7-17 14:32
真的固执

你就当我是固执吧，那你能说下怎么获取当前属性的第一次原始属性吗？修改是绝对在前，读取在后，所以还有办法吗

dnxl

幸福长久 发表于 2024-7-17 14:28
你用CE看这个地址属性好吧。题目内容我都说了，我要的是当前属性的最原始第一次属性 ...

CE上是当前属性 可执行/只读不就是32嘛。没有修改过，实在搞不懂，你想要哪个属性。
128应该是系统第一次为这个EXE模块分配的属性，然后把EXE模块读入内存，然后按EXE的区段表中的属性再重新修改每个区段的属性值





补充内容 (2024-7-17 14:42):
如果有人把32改成64了，你也可以去PE区段表里面找这个区段默属性对比，其实.text段是32就是个常量，也没必要去找

幸福长久

dnxl 发表于 2024-7-17 14:18
哪里判断不准？

谢谢上图，但是我要取的是这个32，当前属性的第一次原值，因为后面会修改，我需要取到这个原始32值，你当是被修改是最在前，而读取在后，所以有没有办法能取到呢

幸福长久

dnxl 发表于 2024-7-17 14:38
CE上是当前属性 可执行/只读不就是32嘛。没有修改过，实在搞不懂，你想要哪个属性。
128应该是系统第一 ...

就是想要这个没有被修改过的原值，因为我读取在后，所以不用说修改前HOOK什么的，就是32被修改后，没有办法能取到这个原值32？

qq793359277

幸福长久 发表于 2024-7-17 14:36
你就当我是固执吧，那你能说下怎么获取当前属性的第一次原始属性吗？修改是绝对在前，读取在后，所以还有 ...

首先那块内存初始属性一定是一个固定值，既然是固定值只要抓到一次就行，在它的保护属性被修改前HOOK一次改属性的api就直接看出来了，更别说改属性的api还强制要求你保存原属性，而且如果这个程序没壳，直接载入调试器不需要运行都能看见

幸福长久

dnxl 发表于 2024-7-17 14:38
CE上是当前属性 可执行/只读不就是32嘛。没有修改过，实在搞不懂，你想要哪个属性。
128应该是系统第一 ...

比方说  A.exe ，401000原值是32 ，被HOOK劫持修改成64，而我后面读取他，怎么才能取到这个原值32

幸福长久

dnxl 发表于 2024-7-17 14:38
CE上是当前属性 可执行/只读不就是32嘛。没有修改过，实在搞不懂，你想要哪个属性。
128应该是系统第一 ...

这应该是重点了，但涉及到盲区了