能力值:
( LV2,RANK:10 )
|
-
-
2 楼
还有比它更底层的实现,比如
ZwReadVirtualMemory
NtReadVirtualMemory
还可以在r0里KeAttachProcess附加到进程里去直接用指针读取。
还可以在r3里注入DLL到目标进程里直接读取。
还可以通过CreatRemoteThread让目标进程执行WriteFile把你需要的数据写到文件你再读文件获取等等。。
|
能力值:
( LV11,RANK:188 )
|
-
-
3 楼
一直想给OD整个
HOOK ReadProcessMemory换用自己注入到目标进程的DLL读取内存的plugin,但应该已经有了罢?
有前辈见过类似功能的plugin吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
如果你有权限直接用指针读也行.
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
网上扎到这些方法。。。
var
X: SmallInt = 8;
procedure TForm1.Button1Click(Sender: TObject);
var
P : ^SmallInt;
begin
P := @x;
Showmessage(InttoStr(P^));
end;
procedure TForm1.Button2Click(Sender: TObject);
var
Addr : integer;
begin
Addr := integer(@X); //地址值
Showmessage(InttoStr(Addr)); //显示这个地址值
Showmessage(InttoStr(PSmallInt(Addr)^));
end;
procedure TForm1.Button3Click(Sender: TObject);
var
Temp: SmallInt;
begin
CopyMemory(@Temp, @X, SizeOf(SmallInt));
Showmessage(InttoStr(Temp));
end;
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
直接用指针了,修改内存本来就是一个最基本的操作而已,mov指令就是读写内存的,那些外挂网站真能误导人。教出来的人就知道个api。。。。
|
能力值:
( LV5,RANK:70 )
|
-
-
7 楼
非也.
API才是正道.
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
远线程插入,用mov即可。
|
能力值:
( LV3,RANK:20 )
|
-
-
9 楼
ReadProcessMemory是访问其它进程的,对于本进程只要直接用指针访问
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
对啊,远程注入用指针很方便的,估计读大量数据速度也快
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
11 楼
|
能力值:
( LV9,RANK:260 )
|
-
-
12 楼
ReadProcessMemory是访问其他进程,地址空间都不一样,没法直接用指针。
至少先要用api进入其他进程的空间。在ring0下修改CR3还行,ring3肯定没办法。
|
能力值:
( LV4,RANK:50 )
|
-
-
13 楼
在r0里KeAttachProcess附加到进程里去直接用指针读取。
有这么强悍滴方法才值得进入R0嘛。。。
|
|
|
|
