|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[原创]免杀动态对抗之syscall[源码分析]
你好博主,上面的方法,有实现从32位进程直接调用64位ntdll的syscall吗? |
|
|
[原创]某PC游戏残血ACE反作弊ring3下的绕过分析
多谢分享,学习一下 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[原创]shellcode免杀框架内附SysWhispers2_x86直接系统调用
最后那个SysWhispers2_x86_WOW64Gate,看了一下,在win7 x64下似乎有些问题 比如NtWriteVirtualMemory函数 : NtWriteVirtualMemory PROC push ebp mov ebp, esp push 0B018A6B4h ; Load function hash into ECX. call SW2_GetSyscallNumber lea esp, [esp+4] mov ecx, 5h push_argument: dec ecx push [ebp + 08h + ecx * 4] jnz push_argument push ret_address_epilog ;ret address call dword ptr internal_cleancall_wow64_gate ; call KiFastSystemCall lea esp, [esp+4] ret_address_epilog: mov esp, ebp pop ebp ret NtWriteVirtualMemory ENDP ntdll.dll中的汇编代码是: mov eax,37 xor ecx,ecx lea edx,dword ptr ss:[esp+4] call dword ptr fs:[C0] add esp,4 ret 14 源代码好像少了lea edx,dword ptr ss:[esp+4]这一行,加上就执行成功了 NtWriteVirtualMemory PROC push ebp mov ebp, esp push 0B018A6B4h ; Load function hash into ECX. call SW2_GetSyscallNumber lea esp, [esp+4] mov ecx, 5h push_argument: dec ecx push [ebp + 08h + ecx * 4] jnz push_argument push ret_address_epilog ;ret address lea edx,dword ptr ss:[esp+4];!!!!!!!!!!!! call dword ptr internal_cleancall_wow64_gate ; call KiFastSystemCall lea esp, [esp+4] ret_address_epilog: mov esp, ebp pop ebp ret NtWriteVirtualMemory ENDP
最后于 2023-7-11 15:30
被ezre编辑
,原因:
|
|
|
|
|
|
[原创]分析某游戏驱动保护的学习历程
大佬,我按照你的方法配置游戏环境,按照hzqst项目的方法,没有安装vmtools工具,能打开lol客户端,但是进入游戏时提示无法初始化图形设备,是怎么回事呢,我的是windows7 64位。 |
|
|
|
|
|
Windows内核-进程线程(四)
请问这是滴水哪一期的教程呢? |
会翻滚的土豆
操作理由
