一些关于R0读写进程内存的问题（APC？附加？换出？）欢迎拍砖-经典问答-看雪-安全社区|安全招聘|kanxue.com

一些关于R0读写进程内存的问题（APC？附加？换出？）欢迎拍砖

2013-5-8 18:16 28125

一些关于R0读写进程内存的问题（APC？附加？换出？）欢迎拍砖

phpskycn

2013-5-8 18:16

28125

查看主题内容

收藏・9

点赞・0

打赏

最新回复 (47) ◀ 1 2
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-5-11 02:01 26 楼 0 DeAttach 完我再断链...从KiAttachProcess到DeAttach 到我断链,整个过程就几毫秒的时间..怎么跟踪?别说跟踪你连发现都发现不了,除非你想把用户机器卡死.
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-11 10:07 27 楼 0 DeAttach完本来就已经断开了这个过程是短但是中间可能发生线程切换的啊，我的线程的时间片用完了它就能有机会了。再说现在都是多处理器系统没法保证它没机会检测到
thenight 雪币： 118 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	thenight 2013-5-11 13:22 28 楼 0 都能拿到EP和CR3.就别直接硬切换了. 读cr4判断pae直接找出要写的物理地址.网络上现成的源码也很多. 或者直接用eprocess 调KeStackAttachProcess. 如果KeStackAttachProcess只是头部被HOOK，抄几字节再跳进去
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-11 14:56 29 楼 0 如何写物理地址～别说physicalmemory对象……最好能完全自己实现不依赖其它部分现在的检测越来越深至少是KiAttachProcess深层的
thenight 雪币： 118 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	thenight 2013-5-11 15:15 30 楼 0 现在的游戏一般就KeStackAttachProcess头部勾一下。再往深层走就拖系统性能了。有的游戏KeStackAttachProcess这里都没勾. ===== 直接写物理地址的话. 从CR3里遍历出来以后. 建一个MDL重新映射下.就可以rtlmove了
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-11 17:48 31 楼 0 目前钩KiAttachProcess的一大把啊，现在比的就是谁更流氓更底层
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-5-11 21:19 32 楼 0 根本没可能,你在内核写个线程循环SLEEP(10)试下....不管你是什么CPU 瞬间让你90%.这程度,别说开游戏了.你开个网页都开不起. HOOK来HOOK去没啥意思啊...再说X64 HOOK不起了重载吧.还有重载是绝对不会被杀的.为什么.....因为....卡巴斯基等等一票杀毒软件都重载内核了.
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-11 21:22 33 楼 0 摆脱又不用一直盯着，定时去检查一下即可邪恶点的话下内存断点，不过这得HOOK PageFault了
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-5-11 21:27 34 楼 0 定时检查很看到啥?我又不是平凡的去调用函数去读.注入模块完就用指针操作.调试器的话.也是瞬间完成.这赶脚程序员是要有中五百万的心才这样搞.... 你下咯...看谁死的比较快.....下内存断就得HOOK 1号中断...瞬间工程量倍增...吃力不讨好.
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-11 21:40 35 楼 0 注入模块隐蔽性太糟糕了如果不注入模块直接读写呢？那就是频繁操作了，被逮住的概率不小。
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-5-11 21:49 36 楼 0 这要看你怎么写了.....内存映射.抹PE头.基本上模块就是一内存块了. 被逮住小...太小了....比中五百万还难.特别是计算机CPU配置越高,几率越小.现在每秒NNNN亿次的浮点运算不是浪的虚名的.代码运行速度越快,几率越小...不信你可以试下..检查那太操多余的心了.....
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-11 23:46 37 楼 0 这个东西做出来可能一整年都在跑，量大了还是会被抓到找注入还是比较容易的，因为自己的东西可以预测内存占用情况，知道哪些地方加载了啥。突然多一些出来肯定有问题。
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-5-11 23:49 38 楼 0 哇哈哈.模块加载出来最多几M ,跟游戏资源比起来简直是小巫见大巫.要监视,代价太大...再说..跑一年.正常三月就跑路...你还一年...骚年...意识不行啊.
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-12 00:05 39 楼 0 如果对方的开发不是太水的话，可以很清楚地划分出内存地址空间结构，XXX-XXX哪部分，XXX-XXX是哪部分，多出来一部分就检查，已有的则CRC 检查没必要很频繁，几s一次都可以
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-5-12 00:58 40 楼 0 明显就是不合理检查,比如游戏加速器.杀毒软件.甚至其他的游戏保护.都有可能在游戏进程内申请内存...而进入的模块有可能在内存块申请一个内存来使用...你说的方法太肤浅了.游戏保护是保护游戏,不是毁了游戏...现在游戏保护的出错率都是控制在千分之一的机率...如果按照你的思路....赶脚十分之一的出错率都算低了.. 建议你还是先把基础弄懂吧.....游戏保护考虑的其实第一个不是保护游戏....而是稳定.兼容,然后是保护,
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-12 02:22 41 楼 0 拜托，明确这几点： 1.发现了不一定要直接拦截，传回云端处理即可，不影响兼容。 2.特殊位置的扫描频率可以很低，不影响性能。 3.正规的加速器和杀软数量有限，白名单解决。 4.越是公开，用的人越是多的方法，越容易被针对。 5.对抗的趋势必然是越来越底层，现在比的是谁更流氓。细节处理好在底层耍流氓完全没问题。
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-5-12 05:40 42 楼 0 你说的几点,第一点明显要拦截到的几率太小,也就是基本可以忽略. 第二点特殊位置的扫描其实无所谓,全段扫描都行,但是没用.有卯就有盾,反过来也是 ....为什么?你看NP的CRC HS的CRC TP的CRC就知道了. 第三白名单.既然是白名单就有一个名单列表.曾几何时是过游戏保护都是往白名单里加调试器..现在很多游戏保护都把白名单当做一份参考而已..自从CSRSS变成外挂的跳板后... 第四.越是公开不一定越容易被针对..为什么?比如输入法注入..请问有几个游戏保护能拦截..??? 第五对抗越底越好?明显不是..别忘了X64你只能用OBJCALLBACK从驱动层保护游戏进程.游戏保护驱动也是爱莫能助.....当然游戏要是把X64抛弃了,我也就没话说了. 你所说的是很久以前的老思想了.....顺便提下,在底层耍流氓最厉害的,曾经是NP....就是耍的太狠了,结果NEXON这个大单就飞了...现在游戏公司很多是把数据挖掘用到反外挂上,,其强悍,让人忘而却步... 骚年....重载内核吧.又或者强行切换吧.调试而已.又不是要你放出去给千千万万用户.
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-12 20:49 43 楼 0 唉，有些新思路和新方法没法讲得太透彻--下次俺写个例子吧不管怎么样多谢指教了
iwantbmw 雪币： 102 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 100 粉丝 0 关注私信	iwantbmw 2013-5-13 20:03 44 楼 0 菜鸟路过，MARK一下，持续关注。以前也用过直接切换CR3读写目标进程的内存，但有时目标进程的内存不在物理地址上，导致蓝屏。现在改用重载内核了。
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-13 22:58 45 楼 0 求切换CR0的详情…… APC有处理么
琅環玉碎雪币： 1636 活跃值： (653) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	琅環玉碎 2013-11-27 11:23 46 楼 0 我都看懵了
GGBON我男神雪币： 222 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	GGBON我男神 2021-11-13 08:46 47 楼 0 KeStackAttachProcess进程后如何把previousmode改成kernelmode呀
木志本柯雪币： 4427 活跃值： (3449) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 351 粉丝 3 关注私信	木志本柯 2021-11-13 14:15 48 楼 0 哟来挖坟呐
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

phpskycn

发帖

396

回帖

RANK

关注

私信

他的文章

[原创]YY-一种高可靠性Hook的思路

[求助]win32k.sys的符号文件问题

关于我们

联系我们

企业服务

看雪公众号

最新回复 (47) ◀ 1 2
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-5-11 02:01 26 楼 0 DeAttach 完我再断链...从KiAttachProcess到DeAttach 到我断链,整个过程就几毫秒的时间..怎么跟踪?别说跟踪你连发现都发现不了,除非你想把用户机器卡死.
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-11 10:07 27 楼 0 DeAttach完本来就已经断开了这个过程是短但是中间可能发生线程切换的啊，我的线程的时间片用完了它就能有机会了。再说现在都是多处理器系统没法保证它没机会检测到
thenight 雪币： 118 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	thenight 2013-5-11 13:22 28 楼 0 都能拿到EP和CR3.就别直接硬切换了. 读cr4判断pae直接找出要写的物理地址.网络上现成的源码也很多. 或者直接用eprocess 调KeStackAttachProcess. 如果KeStackAttachProcess只是头部被HOOK，抄几字节再跳进去
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-11 14:56 29 楼 0 如何写物理地址～别说physicalmemory对象……最好能完全自己实现不依赖其它部分现在的检测越来越深至少是KiAttachProcess深层的
thenight 雪币： 118 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	thenight 2013-5-11 15:15 30 楼 0 现在的游戏一般就KeStackAttachProcess头部勾一下。再往深层走就拖系统性能了。有的游戏KeStackAttachProcess这里都没勾. ===== 直接写物理地址的话. 从CR3里遍历出来以后. 建一个MDL重新映射下.就可以rtlmove了
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-11 17:48 31 楼 0 目前钩KiAttachProcess的一大把啊，现在比的就是谁更流氓更底层
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-5-11 21:19 32 楼 0 根本没可能,你在内核写个线程循环SLEEP(10)试下....不管你是什么CPU 瞬间让你90%.这程度,别说开游戏了.你开个网页都开不起. HOOK来HOOK去没啥意思啊...再说X64 HOOK不起了重载吧.还有重载是绝对不会被杀的.为什么.....因为....卡巴斯基等等一票杀毒软件都重载内核了.
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-11 21:22 33 楼 0 摆脱又不用一直盯着，定时去检查一下即可邪恶点的话下内存断点，不过这得HOOK PageFault了
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-5-11 21:27 34 楼 0 定时检查很看到啥?我又不是平凡的去调用函数去读.注入模块完就用指针操作.调试器的话.也是瞬间完成.这赶脚程序员是要有中五百万的心才这样搞.... 你下咯...看谁死的比较快.....下内存断就得HOOK 1号中断...瞬间工程量倍增...吃力不讨好.
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-11 21:40 35 楼 0 注入模块隐蔽性太糟糕了如果不注入模块直接读写呢？那就是频繁操作了，被逮住的概率不小。
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-5-11 21:49 36 楼 0 这要看你怎么写了.....内存映射.抹PE头.基本上模块就是一内存块了. 被逮住小...太小了....比中五百万还难.特别是计算机CPU配置越高,几率越小.现在每秒NNNN亿次的浮点运算不是浪的虚名的.代码运行速度越快,几率越小...不信你可以试下..检查那太操多余的心了.....
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-11 23:46 37 楼 0 这个东西做出来可能一整年都在跑，量大了还是会被抓到找注入还是比较容易的，因为自己的东西可以预测内存占用情况，知道哪些地方加载了啥。突然多一些出来肯定有问题。
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-5-11 23:49 38 楼 0 哇哈哈.模块加载出来最多几M ,跟游戏资源比起来简直是小巫见大巫.要监视,代价太大...再说..跑一年.正常三月就跑路...你还一年...骚年...意识不行啊.
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-12 00:05 39 楼 0 如果对方的开发不是太水的话，可以很清楚地划分出内存地址空间结构，XXX-XXX哪部分，XXX-XXX是哪部分，多出来一部分就检查，已有的则CRC 检查没必要很频繁，几s一次都可以
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-5-12 00:58 40 楼 0 明显就是不合理检查,比如游戏加速器.杀毒软件.甚至其他的游戏保护.都有可能在游戏进程内申请内存...而进入的模块有可能在内存块申请一个内存来使用...你说的方法太肤浅了.游戏保护是保护游戏,不是毁了游戏...现在游戏保护的出错率都是控制在千分之一的机率...如果按照你的思路....赶脚十分之一的出错率都算低了.. 建议你还是先把基础弄懂吧.....游戏保护考虑的其实第一个不是保护游戏....而是稳定.兼容,然后是保护,
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-12 02:22 41 楼 0 拜托，明确这几点： 1.发现了不一定要直接拦截，传回云端处理即可，不影响兼容。 2.特殊位置的扫描频率可以很低，不影响性能。 3.正规的加速器和杀软数量有限，白名单解决。 4.越是公开，用的人越是多的方法，越容易被针对。 5.对抗的趋势必然是越来越底层，现在比的是谁更流氓。细节处理好在底层耍流氓完全没问题。
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-5-12 05:40 42 楼 0 你说的几点,第一点明显要拦截到的几率太小,也就是基本可以忽略. 第二点特殊位置的扫描其实无所谓,全段扫描都行,但是没用.有卯就有盾,反过来也是 ....为什么?你看NP的CRC HS的CRC TP的CRC就知道了. 第三白名单.既然是白名单就有一个名单列表.曾几何时是过游戏保护都是往白名单里加调试器..现在很多游戏保护都把白名单当做一份参考而已..自从CSRSS变成外挂的跳板后... 第四.越是公开不一定越容易被针对..为什么?比如输入法注入..请问有几个游戏保护能拦截..??? 第五对抗越底越好?明显不是..别忘了X64你只能用OBJCALLBACK从驱动层保护游戏进程.游戏保护驱动也是爱莫能助.....当然游戏要是把X64抛弃了,我也就没话说了. 你所说的是很久以前的老思想了.....顺便提下,在底层耍流氓最厉害的,曾经是NP....就是耍的太狠了,结果NEXON这个大单就飞了...现在游戏公司很多是把数据挖掘用到反外挂上,,其强悍,让人忘而却步... 骚年....重载内核吧.又或者强行切换吧.调试而已.又不是要你放出去给千千万万用户.
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-12 20:49 43 楼 0 唉，有些新思路和新方法没法讲得太透彻--下次俺写个例子吧不管怎么样多谢指教了
iwantbmw 雪币： 102 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 100 粉丝 0 关注私信	iwantbmw 2013-5-13 20:03 44 楼 0 菜鸟路过，MARK一下，持续关注。以前也用过直接切换CR3读写目标进程的内存，但有时目标进程的内存不在物理地址上，导致蓝屏。现在改用重载内核了。
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-5-13 22:58 45 楼 0 求切换CR0的详情…… APC有处理么
琅環玉碎雪币： 1636 活跃值： (653) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 63 粉丝 0 关注私信	琅環玉碎 2013-11-27 11:23 46 楼 0 我都看懵了
GGBON我男神雪币： 222 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	GGBON我男神 2021-11-13 08:46 47 楼 0 KeStackAttachProcess进程后如何把previousmode改成kernelmode呀
木志本柯雪币： 4427 活跃值： (3449) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 351 粉丝 3 关注私信	木志本柯 2021-11-13 14:15 48 楼 0 哟来挖坟呐
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复