[求助]关于暴力内存搜索有什么可以躲避的方法没-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (19)
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 2 楼 peloader 貌似不支持加壳的程序，所以也不妥。 2014-5-10 18:20 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 3 楼不让他搜索内存 2014-5-10 18:30 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 4 楼它有驱动保护，略屌了。。不然早虐死他 2014-5-10 18:47 0
JingSao 雪币： 95 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 91 粉丝 0 关注私信	JingSao 5 楼楼主,你是攻还是受呀受的话就不让他打开或者找到你的进程攻的话因为是目标进程那就没办法了 2014-5-10 19:29 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 6 楼论坛里一大堆讲解怎么查找和反查找内存数据的文章，楼主应该善用搜索啊！ 2014-5-10 22:04 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 7 楼既然别人要暴力搜索了，那么就根据他的思路来针对。 1.让他找不到要找的东西，比如动态抹除PE头部（注意不是改PE文件本身，而是抹掉在内存中的头部）等抹去特征，是否能实现取决于是否能知道对方的特征定位方式。 2.让它读取不到，page fault hook等 2014-5-11 01:56 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 8 楼内存中的MZ标记一改就会影响exe程序的热键操作，互联网操作，还有一些不稳定的现象不知大大是否还有其它大招没 2014-5-11 12:03 0
alazif 雪币： 74 活跃值： (243) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 9 楼隐藏你的进程让他找不到就可以了啊......或者hook对方的读取内存的函数然后跳过你的进程什么的..... 2014-5-11 14:24 0
htpidk 雪币： 7261 活跃值： (3929) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 277 粉丝 1 关注私信	htpidk 10 楼 LZ说的应该是注入DLL到游戏进程，游戏扫自己进程里的可疑模块吧，这样可以直接用指针扫了，不需要读写内存API了，HOOK了也没用。而且如果游戏有检测关键API是否被HOOK功能，本来不会被检测的也会被检测到，死的更难看。 2014-5-11 14:30 0
alazif 雪币： 74 活跃值： (243) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 11 楼 “ 改PE头部的话，EXE文件会出现异常，所以不妥。。 ” 嘛←_← 话说楼主说的好像是某横版游戏大家貌似注入都是直接拿检测线程开刀来着......... 记得有个利用cpu里的地址缓存来隐藏内存的技术来着那个才能做到真正的内存隐藏..... 2014-5-11 15:12 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 12 楼被查是的exe的特征，不是注入进去的dll 2014-5-12 13:32 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 13 楼就是TP。他会扫我的exe。。 2014-5-12 14:15 0
lidagogo 雪币： 68 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 14 楼断其扫描线程可否? 2014-5-12 15:56 0
alazif 雪币： 74 活跃值： (243) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 15 楼唔....DKOM断链+抹pspcidtable句柄表+hook ntopenprocess+hook ZwQuerySystemInformation试试？非法模块的话好像不是搜进程内存来着..... 2014-5-12 17:06 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 16 楼 R3下有办法没？就是扫内存的，我把exe重编译就好了，或者抹掉exe的pe头就好了 2014-5-12 17:28 0
alazif 雪币： 74 活跃值： (243) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 17 楼 ring3下一样能断链.... 特征码什么的试试VMProtect？吧内存操作/注入相关的函数都VM掉这个附件是在网上找到的 r3下隐藏进程的易语言模块源码可以参考下不过只能在xp下生效来着上传的附件：隐藏进程.rar （4.17kb，35次下载） 2014-5-12 17:50 0
jz小编雪币： 232 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	jz小编 18 楼修改进程页表，使检测的内存不可见 2014-5-12 20:10 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 19 楼求这个 cpu里的地址缓存来隐藏技术地址 2014-10-3 15:19 0
萌克力雪币： 433 活跃值： (1900) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 20 楼最近学到一个自动更改md5 2014-10-4 01:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (19)
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 2 楼 peloader 貌似不支持加壳的程序，所以也不妥。 2014-5-10 18:20 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 3 楼不让他搜索内存 2014-5-10 18:30 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 4 楼它有驱动保护，略屌了。。不然早虐死他 2014-5-10 18:47 0
JingSao 雪币： 95 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 91 粉丝 0 关注私信	JingSao 5 楼楼主,你是攻还是受呀受的话就不让他打开或者找到你的进程攻的话因为是目标进程那就没办法了 2014-5-10 19:29 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 6 楼论坛里一大堆讲解怎么查找和反查找内存数据的文章，楼主应该善用搜索啊！ 2014-5-10 22:04 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 7 楼既然别人要暴力搜索了，那么就根据他的思路来针对。 1.让他找不到要找的东西，比如动态抹除PE头部（注意不是改PE文件本身，而是抹掉在内存中的头部）等抹去特征，是否能实现取决于是否能知道对方的特征定位方式。 2.让它读取不到，page fault hook等 2014-5-11 01:56 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 8 楼内存中的MZ标记一改就会影响exe程序的热键操作，互联网操作，还有一些不稳定的现象不知大大是否还有其它大招没 2014-5-11 12:03 0
alazif 雪币： 74 活跃值： (243) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 9 楼隐藏你的进程让他找不到就可以了啊......或者hook对方的读取内存的函数然后跳过你的进程什么的..... 2014-5-11 14:24 0
htpidk 雪币： 7261 活跃值： (3929) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 277 粉丝 1 关注私信	htpidk 10 楼 LZ说的应该是注入DLL到游戏进程，游戏扫自己进程里的可疑模块吧，这样可以直接用指针扫了，不需要读写内存API了，HOOK了也没用。而且如果游戏有检测关键API是否被HOOK功能，本来不会被检测的也会被检测到，死的更难看。 2014-5-11 14:30 0
alazif 雪币： 74 活跃值： (243) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 11 楼 “ 改PE头部的话，EXE文件会出现异常，所以不妥。。 ” 嘛←_← 话说楼主说的好像是某横版游戏大家貌似注入都是直接拿检测线程开刀来着......... 记得有个利用cpu里的地址缓存来隐藏内存的技术来着那个才能做到真正的内存隐藏..... 2014-5-11 15:12 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 12 楼被查是的exe的特征，不是注入进去的dll 2014-5-12 13:32 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 13 楼就是TP。他会扫我的exe。。 2014-5-12 14:15 0
lidagogo 雪币： 68 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 14 楼断其扫描线程可否? 2014-5-12 15:56 0
alazif 雪币： 74 活跃值： (243) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 15 楼唔....DKOM断链+抹pspcidtable句柄表+hook ntopenprocess+hook ZwQuerySystemInformation试试？非法模块的话好像不是搜进程内存来着..... 2014-5-12 17:06 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 16 楼 R3下有办法没？就是扫内存的，我把exe重编译就好了，或者抹掉exe的pe头就好了 2014-5-12 17:28 0
alazif 雪币： 74 活跃值： (243) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 17 楼 ring3下一样能断链.... 特征码什么的试试VMProtect？吧内存操作/注入相关的函数都VM掉这个附件是在网上找到的 r3下隐藏进程的易语言模块源码可以参考下不过只能在xp下生效来着上传的附件：隐藏进程.rar （4.17kb，35次下载） 2014-5-12 17:50 0
jz小编雪币： 232 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	jz小编 18 楼修改进程页表，使检测的内存不可见 2014-5-12 20:10 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 19 楼求这个 cpu里的地址缓存来隐藏技术地址 2014-10-3 15:19 0
萌克力雪币： 433 活跃值： (1900) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 20 楼最近学到一个自动更改md5 2014-10-4 01:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]关于暴力内存搜索 有什么可以躲避的方法没

[求助]关于暴力内存搜索有什么可以躲避的方法没