[讨论]如何搜索外挂DLL的特征进行检查作弊呢-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 2 楼取模块特定地址不全段搜索(模块基地址偏移多少字节后的几个特殊汇编代码段为特征码).也可以是PE头的某几个字节做为检测点.当然人家加载模块后抹出PE什么的. 还有是分段搜索,基地址偏移多少到多少进行搜索.当然还有其他很贱的检查方式. 2013-7-13 21:06 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 3 楼谢谢您的回答,但是它的DLL如果是直接用内存的方式注入,而没有模块也没有PE头,那要从何入手呢.. 取指定的地址进行搜索,如果它把它注入的DLL这段内存区域都改成不可读写的话,那么我搜索的时候就会产生异常,那样就会被它发现是从哪里开启检测的.请问有什么办法对付没. 2013-7-14 13:28 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 4 楼先改写内存地址然后读写.分段搜索他并不知道你是抓的哪块地方的特征码所以不会被检测到 2013-7-14 15:30 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 5 楼额,那你怎么知道那块内存是你需要改的,难道把整个进程的内存都改写了? 2013-7-14 18:01 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 6 楼 .........读哪一块改哪一块啊 2013-7-14 19:25 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 7 楼那一块内存是直接复制进去的,不是加载模块的. 2013-7-14 20:35 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 8 楼 NtQueryVirtualMemory 敢问你们公司就你一个反外挂的? 2013-7-14 23:40 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 9 楼那你根本就找不到地址在哪里,如何调用这个函数. 2013-7-15 12:53 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 10 楼 for(int i = 0; i<0x7FFFFFFF;i+=0x1000) { NtQxxxxxxx } 再不懂就放弃吧 2013-7-15 15:32 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 11 楼开眼见了。。这水平反挂。。。 2013-7-16 14:20 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 12 楼明白了,感谢大神,如果这样取到的数据是不是内存访问断点跟hook readprocessmemory 都没办法查询到? 2013-7-16 23:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 2 楼取模块特定地址不全段搜索(模块基地址偏移多少字节后的几个特殊汇编代码段为特征码).也可以是PE头的某几个字节做为检测点.当然人家加载模块后抹出PE什么的. 还有是分段搜索,基地址偏移多少到多少进行搜索.当然还有其他很贱的检查方式. 2013-7-13 21:06 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 3 楼谢谢您的回答,但是它的DLL如果是直接用内存的方式注入,而没有模块也没有PE头,那要从何入手呢.. 取指定的地址进行搜索,如果它把它注入的DLL这段内存区域都改成不可读写的话,那么我搜索的时候就会产生异常,那样就会被它发现是从哪里开启检测的.请问有什么办法对付没. 2013-7-14 13:28 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 4 楼先改写内存地址然后读写.分段搜索他并不知道你是抓的哪块地方的特征码所以不会被检测到 2013-7-14 15:30 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 5 楼额,那你怎么知道那块内存是你需要改的,难道把整个进程的内存都改写了? 2013-7-14 18:01 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 6 楼 .........读哪一块改哪一块啊 2013-7-14 19:25 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 7 楼那一块内存是直接复制进去的,不是加载模块的. 2013-7-14 20:35 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 8 楼 NtQueryVirtualMemory 敢问你们公司就你一个反外挂的? 2013-7-14 23:40 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 9 楼那你根本就找不到地址在哪里,如何调用这个函数. 2013-7-15 12:53 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 2 关注私信	exediy 1 10 楼 for(int i = 0; i<0x7FFFFFFF;i+=0x1000) { NtQxxxxxxx } 再不懂就放弃吧 2013-7-15 15:32 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 11 楼开眼见了。。这水平反挂。。。 2013-7-16 14:20 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 12 楼明白了,感谢大神,如果这样取到的数据是不是内存访问断点跟hook readprocessmemory 都没办法查询到? 2013-7-16 23:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [讨论]如何搜索外挂DLL的特征进行检查作弊呢 0.00雪花