|
|
|
[求助]关于变速齿轮的检测,有没有朋友有什么好办法啊
hzqst IcmpSendEcho或者自己写ICMP ping一个保留地址,等待固定时间超时,用GetTickCount或者其他qpc检查时间差,时间差远小于超时时间说明有问题表哥 你是不是这个意思 int time1 = qpc(); IcmpSendEcho(100ms); // 这个IP最好是个永远不返回的IP地址,这样就能永远超时100ms了 int time2 = qpc(); if (time2 - time1 < 100ms) then printf("速度异常"); 但是现在最怕就是个别变速齿轮会HOOK GetTickCount或者qpc函数,这样我也得实时对这些函数进行CRC检测吧 |
|
[求助]关于变速齿轮的检测,有没有朋友有什么好办法啊
但是Sleep的精度是很不靠谱的,而且Sleep的延迟,应该也受变速齿轮的影响吧 |
|
[原创]“私域流量”的背后:利益催生黑色产业链,恶意营销泛滥成灾
学习了 学习了 |
|
[原创]过所有主流杀软查杀的“免杀壳”编写揭秘
厉害 学习了 |
|
[求助]请问为什么在模块回调中,内存注入DLL总是会失败呢
yy虫子yy 你是怎么去掉锁的?这是WRK的做法 // // Get the address creation mutex to block multiple threads // creating or deleting address space at the same time. // LOCK_ADDRESS_SPACE (Process); 它是这里加的锁 // // Make sure the address space was not deleted, if so, return an error. // if (Process->Flags & PS_PROCESS_FLAGS_VM_DELETED) { status = STATUS_PROCESS_IS_TERMINATING; goto ErrorReturn; } // // Map the view base on the type. // if (ControlArea->u.Flags.PhysicalMemory) { // 这个函数发起的模块回调 status = MiMapViewOfPhysicalSection (ControlArea, Process, CapturedBase, SectionOffset, CapturedViewSize, ProtectionMask, ZeroBits, AllocationType); } else if (ControlArea->u.Flags.Image) { if (AllocationType & MEM_RESERVE) { status = STATUS_INVALID_PARAMETER_9; } else if (Win32Protect & PAGE_WRITECOMBINE) { status = STATUS_INVALID_PARAMETER_10; } else { ImageCommitment = Section->Segment->u1.ImageCommitment; status = MiMapViewOfImageSection (ControlArea, Process, CapturedBase, SectionOffset, CapturedViewSize, Section, InheritDisposition, ZeroBits, AllocationType, ImageCommitment); } } else { // // Not an image section, therefore it is a data section. // if (Win32Protect & PAGE_WRITECOMBINE) { status = STATUS_INVALID_PARAMETER_10; } else { status = MiMapViewOfDataSection (ControlArea, Process, CapturedBase, SectionOffset, CapturedViewSize, Section, InheritDisposition, ProtectionMask, CommitSize, ZeroBits, AllocationType); } } ErrorReturn: UNLOCK_ADDRESS_SPACE (Process); 这里解锁 我的做法是直接把这个锁的值提前读出来,然后置零,完成注入DLL后,再恢复, 但是这样可能会出问题,所以不建议使用 |
|
[求助]请问为什么在模块回调中,内存注入DLL总是会失败呢
hzqst https://bbs.pediy.com/thread-211330.htm我刚刚在分配内存前把AddressCreationLock的锁给自己去掉了,然后分配完内存后又自己加上了,有的程序会触发蓝屏 STACK_TEXT: fffff880`0d7ca7e0 fffff800`04332a89 : fffff880`0d7caa40 00000000`00000010 00000000`00000000 fffff880`0d7caa38 : nt!MmCreateSection+0x641 fffff880`0d7ca9f0 fffff800`040f3ad3 : fffffa80`13db2440 00000000`0e82e7c8 fffff880`0d7caa88 00000000`00000000 : nt!NtCreateSection+0x171 fffff880`0d7caa70 00000000`772c9d2a : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13 00000000`0e82e7a8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x772c9d2a
最后于 2019-6-30 15:06
被一二三六编辑
,原因:
|
|
[求助]请问为什么在模块回调中,内存注入DLL总是会失败呢
hzqst https://bbs.pediy.com/thread-211330.htm谢谢大表哥,刚刚就在看你的帖子,看你HOOK的是ZwTestAlert, 但既然是HOOK这个进程中的ZwTestAlert,你肯定要修改ZwTestAlert的首字节,然后跳转到你在这个进程中分配的内存中,而用NtAllocateVirtualMemory分配内存却会造成死锁,你是怎么处理的这个啊 |
|
[原创]枚举进程:ring3->ring0(求邀请码)
谢谢,学习了 |
|
[求助]TP附加后,几秒后游戏退出
...... |
|
[原创] 人肉跟踪VMProtect入口至出口运行全过程(2)迷你代码还原
这个是有DispatchTable的吧,如果是没DispatchTable的,不知道楼主试过没有 |
|
[原创]VMProtect2.04加壳程序从入门到精通
好帖子一定要顶起来 |
|
[求助]加密与解密4中,chap20的随书例子的ConvertCrackMe在哪呢
wyfe ConvertCrackMe.exe可以自己提供一个实例主要就是没用过map文件,不知道MapStructrue* stu = pestruct.GetMap("CrackMe(struct HWND__ *)")这个里面的CrackMe(struct HWND__ *)这个符号是干嘛的 |
|
[求助]加密与解密4中,chap20的随书例子的ConvertCrackMe在哪呢
也是醉了,既然是随书的,怎么不一起放上来,非要我们这么发帖提问吗 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值