|
[求助]r3下如何防止WriteProcessMemory对软件写入
MokeyF 不抵抗写入,我这边只要知道是不是系统或者杀毒写入,如果不是就自动退出要知道,第三方软件是可以伪装成系统或者杀毒的 而且系统进程非常多,杀毒品牌也很多,更何况伪装者是没有标准的 一个没有标准的行为是无法被监测的,而你自己再制定标准去对抗无标准行为,这根本不可能了 从客户端的角度来说的确如此,最多也就是加强难度而始终跳不出攻防对抗的圈子 除非你的关注点不在客户端,比如服务器端,或者从深层次考虑,别人为什么要写你的内存? 写内存要干什么?这种“写内存”的需求你自己能不能提供?怎么去平衡这种供需关系? |
|
[求助]r3下如何防止WriteProcessMemory对软件写入
不管是r3还是r0都阻止不了对软件的写入,放弃抵抗吧,换思路 |
|
|
|
[求助]如果电脑重装系统后
软件信息 |
|
[求助]请问各位大佬,一直返回HOOK失败,怎么办
没办法,这里不能用hook,换方式 |
|
[求助]求解汇编
程序返回 |
|
|
|
|
|
[求助]win7 64位HOOK NtDeviceIoControlFile
NTSTATUS __stdcall HOOKNtDeviceIoControlFile( IN HANDLE FileHandle, IN HANDLE Event OPTIONAL, IN PIO_APC_ROUTINE ApcRoutine OPTIONAL, IN PVOID ApcContext OPTIONAL, OUT PIO_STATUS_BLOCK IoStatusBlock, IN ULONG IoControlCode, IN PVOID InputBuffer OPTIONAL, IN ULONG InputBufferLength, OUT PVOID OutputBuffer OPTIONAL, IN ULONG OutputBufferLength ) { //这里还原hook return NtDeviceIoControlFile(FileHandle, Event, ApcRoutine, ApcContext, IoStatusBlock, IoControlCode, InputBuffer, InputBufferLength, OutputBuffer, OutputBufferLength); //这里再次hook } |
|
[原创]X64调用门的使用---R3提权R0读写MSR ---支持WIN7 WIN10
已经彻底调查了x64调用门触发三重故障或者崩溃蓝屏的原因了 是因为intel和amd的cpu支持全新的syscall/sysret系统调用指令,并且弱化了x64调用门的功能 具体来说就是系统调用或者中断从Ring3进入Ring0的时候清除了IF中断标志位 而这一过程是由复杂指令集和中断过程自行完成的,所以能够保证在刚进入内核的时候不会被打断 从而在这个时候可以切换一下运行环境,比如代码段,堆栈段,FS,swapgs等 而x64调用门在进入Ring0的时候却没有这种保护机制,一些标志位也不会改变 那这个时候就很容易被DPC,时钟,系统调度等打断,而打断后的运行环境还处于Ring3 没来得及切换,最后就出问题了,如果修复的话,只能在拦截这些中断之前切换到Ring0运行环境 其实应该可以用VT拦截,我没试过,还有最终极的办法就是给cpu打微码补丁进Ring0的时候清除标志位 其实不管哪种修复方式都非常困难,所以这里仅供参考,感兴趣的兄弟可以试试 |
|
[原创]X64调用门的使用---R3提权R0读写MSR ---支持WIN7 WIN10
~时光荏苒 运行 decnit.exe 就 所以说啊,调用次数多了之后就会发生三重错误 VMware可以保存三重错误日志,方法是在vmx文件里面添加这两行: monitor_control.log_vmsample = "TRUE" monitor.suspend_on_triplefault = "TRUE" 发生三重错误导致cpu关闭后,log文件里面就可以看到相关信息 只是目前还无法修复这个bug |
|
|
|
[原创]录制了一套很详细VM分析专题教程(带全课件)希望能帮助到初学者
感谢分享,留着慢慢看 |
|
|
|
[原创]X64调用门的使用---R3提权R0读写MSR ---支持WIN7 WIN10
~时光荏苒 这样的啊, win10 有没有办法处理呢win10应该不是70,你试下e0,应用层写e3,看行不行 |
|
|
|
[原创]X64调用门的使用---R3提权R0读写MSR ---支持WIN7 WIN10
~时光荏苒 yy虫子yy 怎么调用的?r0层是否已安装调用门? 代码我贴在10楼了 r3成就是上面的代码 调用没反应 r3程序直接崩溃&nbs ...r0安装后,只是安装在了cpu其中一个核心上,可以用pchunter看到 r3要绑定到那个核心上,才可以调用,可以用任务管理器绑定,设置进程相关性 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值