能力值:
( LV5,RANK:70 )
|
-
-
2 楼
取模块特定地址不全段搜索(模块基地址偏移多少字节后的几个特殊汇编代码段为特征码).也可以是PE头的某几个字节做为检测点.当然人家加载模块后抹出PE什么的.
还有是分段搜索,基地址偏移多少到多少进行搜索.当然还有其他很贱的检查方式.
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
谢谢您的回答,但是它的DLL如果是直接用内存的方式注入,而没有模块也没有PE头,那要从何入手呢..
取指定的地址进行搜索,如果它把它注入的DLL这段内存区域都改成不可读写的话,那么我搜索的时候就会产生异常,那样就会被它发现是从哪里开启检测的.请问有什么办法对付没.
|
能力值:
( LV5,RANK:70 )
|
-
-
4 楼
先改写内存地址然后读写.分段搜索他并不知道你是抓的哪块地方的特征码所以不会被检测到
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
额,那你怎么知道那块内存是你需要改的,难道把整个进程的内存都改写了?
|
能力值:
( LV5,RANK:70 )
|
-
-
6 楼
......... 读哪一块改哪一块啊
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
那一块内存是直接复制进去的,不是加载模块的.
|
能力值:
( LV5,RANK:70 )
|
-
-
8 楼
NtQueryVirtualMemory 敢问你们公司就你一个反外挂的?
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
那你根本就找不到地址在哪里,如何调用这个函数.
|
能力值:
( LV5,RANK:70 )
|
-
-
10 楼
for(int i = 0; i<0x7FFFFFFF;i+=0x1000)
{
NtQxxxxxxx
}
再不懂就放弃吧
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
开眼见了。。这水平反挂。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
明白了,感谢大神,如果这样取到的数据是不是内存访问断点跟hook readprocessmemory 都没办法查询到?
|
|
|