首页
社区
课程
招聘
一些关于R0读写进程内存的问题(APC?附加?换出?)欢迎拍砖
发表于: 2013-5-8 18:16 28979

一些关于R0读写进程内存的问题(APC?附加?换出?)欢迎拍砖

2013-5-8 18:16
28979
收藏
免费 0
支持
分享
最新回复 (47)
雪    币: 228
活跃值: (115)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
26
DeAttach 完我再断链...从KiAttachProcess到DeAttach  到我断链,整个过程就几毫秒的时间..怎么跟踪?别说跟踪 你连发现都发现不了,除非你想把用户机器卡死.
2013-5-11 02:01
0
雪    币: 110
活跃值: (34)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
27
DeAttach完本来就已经断开了
这个过程是短但是中间可能发生线程切换的啊,我的线程的时间片用完了它就能有机会了。再说现在都是多处理器系统没法保证它没机会检测到
2013-5-11 10:07
0
雪    币: 118
活跃值: (27)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
28
都能拿到EP和CR3.就别直接硬切换了.
读cr4判断pae直接找出要写的物理地址.网络上现成的源码也很多.

或者直接用eprocess 调KeStackAttachProcess.
如果KeStackAttachProcess只是头部被HOOK,抄几字节再跳进去
2013-5-11 13:22
0
雪    币: 110
活跃值: (34)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
29
如何写物理地址~别说physicalmemory对象……最好能完全自己实现不依赖其它部分

现在的检测越来越深至少是KiAttachProcess深层的
2013-5-11 14:56
0
雪    币: 118
活跃值: (27)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
30
现在的游戏一般就KeStackAttachProcess头部勾一下。再往深层走就拖系统性能了。
有的游戏KeStackAttachProcess这里都没勾.
=====
直接写物理地址的话.
从CR3里遍历出来以后.
建一个MDL重新映射下.就可以rtlmove了
2013-5-11 15:15
0
雪    币: 110
活跃值: (34)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
31
目前钩KiAttachProcess的一大把啊,现在比的就是谁更流氓更底层
2013-5-11 17:48
0
雪    币: 228
活跃值: (115)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
32
根本没可能,你在内核写个线程循环SLEEP(10)试下....不管你是什么CPU 瞬间让你90%.这程度,别说开游戏了.你开个网页都开不起.


HOOK来HOOK去没啥意思啊...再说X64  HOOK不起了
重载吧.还有重载是绝对不会被杀的.为什么.....因为....卡巴斯基等等一票杀毒软件都重载内核了.
2013-5-11 21:19
0
雪    币: 110
活跃值: (34)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
33
摆脱又不用一直盯着,定时去检查一下即可
邪恶点的话下内存断点,不过这得HOOK PageFault了
2013-5-11 21:22
0
雪    币: 228
活跃值: (115)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
34
定时检查很看到啥?我又不是平凡的去调用函数去读.注入模块完就用指针操作.调试器的话.也是瞬间完成.这赶脚程序员是要有中五百万的心才这样搞....
你下咯...看谁死的比较快.....下内存断就得HOOK 1号中断...瞬间工程量倍增...吃力不讨好.
2013-5-11 21:27
0
雪    币: 110
活跃值: (34)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
35
注入模块隐蔽性太糟糕了
如果不注入模块直接读写呢?那就是频繁操作了,被逮住的概率不小。
2013-5-11 21:40
0
雪    币: 228
活跃值: (115)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
36
这要看你怎么写了.....内存映射.抹PE头.基本上模块就是一内存块了.
被逮住小...太小了....比中五百万还难.特别是计算机CPU配置越高,几率越小.现在每秒NNNN亿次的浮点运算不是浪的虚名的.代码运行速度越快,几率越小...不信你可以试下..检查那太操多余的心了.....
2013-5-11 21:49
0
雪    币: 110
活跃值: (34)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
37
这个东西做出来可能一整年都在跑,量大了还是会被抓到
找注入还是比较容易的,因为自己的东西可以预测内存占用情况,知道哪些地方加载了啥。突然多一些出来肯定有问题。
2013-5-11 23:46
0
雪    币: 228
活跃值: (115)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
38
哇哈哈.模块加载出来最多几M ,跟游戏资源比起来简直是小巫见大巫.要监视,代价太大...再说..跑一年.正常三月就跑路...你还一年...骚年...意识不行啊.
2013-5-11 23:49
0
雪    币: 110
活跃值: (34)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
39
如果对方的开发不是太水的话,可以很清楚地划分出内存地址空间结构,XXX-XXX哪部分,XXX-XXX是哪部分,多出来一部分就检查,已有的则CRC
检查没必要很频繁,几s一次都可以
2013-5-12 00:05
0
雪    币: 228
活跃值: (115)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
40
明显就是不合理检查,比如游戏加速器.杀毒软件.甚至其他的游戏保护.都有可能在游戏进程内申请内存...而进入的模块有可能在内存块申请一个内存来使用...你说的方法太肤浅了.游戏保护是保护游戏,不是毁了游戏...现在游戏保护的出错率都是控制在千分之一的机率...如果按照你的思路....赶脚十分之一的出错率都算低了..

建议你还是先把基础弄懂吧.....游戏保护考虑的其实第一个不是保护游戏....而是稳定.兼容,然后是保护,
2013-5-12 00:58
0
雪    币: 110
活跃值: (34)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
41
拜托,明确这几点:
1.发现了不一定要直接拦截,传回云端处理即可,不影响兼容。
2.特殊位置的扫描频率可以很低,不影响性能。
3.正规的加速器和杀软数量有限,白名单解决。
4.越是公开,用的人越是多的方法,越容易被针对。
5.对抗的趋势必然是越来越底层,现在比的是谁更流氓。细节处理好在底层耍流氓完全没问题。
2013-5-12 02:22
0
雪    币: 228
活跃值: (115)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
42
你说的几点,第一点明显要拦截到的几率太小,也就是基本可以忽略.
第二点特殊位置的扫描其实无所谓,全段扫描都行,但是没用.有卯就有盾,反过来也是 ....为什么?你看NP的CRC HS的CRC TP的CRC就知道了.

第三白名单.既然是白名单 就有一个名单列表.曾几何时是过游戏保护都是往白名单里加调试器..现在很多游戏保护都把白名单当做一份参考而已..自从CSRSS变成外挂的跳板后...

第四.越是公开 不一定越容易被针对..为什么?比如输入法注入..请问有几个游戏保护能拦截..???

第五 对抗越底越好?明显不是..别忘了X64你只能用OBJCALLBACK从驱动层保护游戏进程.游戏保护驱动也是爱莫能助.....当然游戏要是把X64抛弃了,我也就没话说了.

你所说的是很久以前的老思想了.....顺便提下,在底层耍流氓最厉害的,曾经是NP....就是耍的太狠了,结果NEXON这个大单就飞了...现在游戏公司很多是把数据挖掘用到反外挂上,,其强悍,让人忘而却步...

骚年....重载内核吧.又或者强行切换吧.调试而已.又不是要你放出去给千千万万用户.
2013-5-12 05:40
0
雪    币: 110
活跃值: (34)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
43
唉,有些新思路和新方法没法讲得太透彻--下次俺写个例子吧
不管怎么样多谢指教了
2013-5-12 20:49
0
雪    币: 102
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
44
菜鸟路过,MARK一下,持续关注。

以前也用过直接切换CR3读写目标进程的内存,
但有时目标进程的内存不在物理地址上,导致蓝屏。
现在改用重载内核了。
2013-5-13 20:03
0
雪    币: 110
活跃值: (34)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
45
求切换CR0的详情……
APC有处理么
2013-5-13 22:58
0
雪    币: 1636
活跃值: (653)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
46
我都看懵了
2013-11-27 11:23
0
雪    币: 222
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
47
KeStackAttachProcess进程后如何把previousmode改成kernelmode呀
2021-11-13 08:46
0
雪    币: 4776
活跃值: (4474)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
48
哟 来挖坟呐
2021-11-13 14:15
0
游客
登录 | 注册 方可回帖
返回
//