能力值:
( LV2,RANK:10 )
|
-
-
2 楼
r3的文章很少看到有TP的
|
能力值:
( LV2,RANK:10 )
在线值:
 
|
-
-
3 楼
TP某些ring3的检测其实很简单,比如OD插件的检测和CE、XUETR的检测 简单到想象不到 所以很多人就都中招了
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
findwindow iswindow
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
 我发现好像开 OP 会向每一个进程注入一个DLL
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
6 楼
3楼老兄可能误解了,TP的ring3检测应该没那么简单,我停掉它的tensaf进程,还有所有的定时器后,即使什么也不打开,过一两分钟,系统自动重启。
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
7 楼
那给个思路吧,我Hook Ntopenprocess 游戏自己关了,Hook ObCheckObjectAccess貌似也不行
到底怎么处理呢,求思路,求方法啊
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
8 楼
你要先处理内核中的检测线程才行
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
9 楼
开CE马上就被检测到,还不知道是怎么检测CE的
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
10 楼
能详细讲解一下不
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
11 楼
一般都是CreateProcessNotify检测进程开启
DPC定时器和I/O定时器的作用我就知道了(因为不能访问分页内存,所以理应不会是CRC扫描)
内核线程负责检测内核关键点的几处hook和fakeObjectMethod
还有反双机调试检测KiDebugRoutine和Enable。
以及TP的安全掩码。
不知道有没有IDT HOOK。。
ring3层一般都是安全保护公司dll在一定的生命周期内和驱动通信。
通信的方式也有多种多样的。
再者CRC,和Themida的自检(内存校验)
应用层也有hook等。
|
能力值:
( LV2,RANK:10 )
在线值:
|
-
-
12 楼
这些其实都是老技术。
都有很通用的对抗方法,最经典的内核重载,还有KiSwapContext、
自建DgbObj,ShadowWalker等(但是ShadowWalker好像不适用于ring3或说实现ring3会稍微困难,以前有想过这个流程,得到的结论。好像和切换进程后CPU中保存的页表缓存还是旧的有关,忘记了。:)
|
|
|
