能力值:
( LV2,RANK:10 )
|
-
-
2 楼
peloader 貌似不支持加壳的程序,所以也不妥。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
不让他搜索内存
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
它有驱动保护,略屌了。。不然早虐死他
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
楼主,你是攻还是受呀
受的话就不让他打开或者找到你的进程
攻的话因为是目标进程那就没办法了
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
论坛里一大堆讲解怎么查找和反查找内存数据的文章,楼主应该善用搜索啊!
|
能力值:
(RANK:50 )
|
-
-
7 楼
既然别人要暴力搜索了,那么就根据他的思路来针对。
1.让他找不到要找的东西,比如动态抹除PE头部(注意不是改PE文件本身,而是抹掉在内存中的头部)等抹去特征,是否能实现取决于是否能知道对方的特征定位方式。
2.让它读取不到,page fault hook等
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
内存中的MZ标记一改就会影响exe程序的热键操作,互联网操作,还有一些不稳定的现象
不知大大是否还有其它大招没
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
隐藏你的进程让他找不到就可以了啊......或者hook对方的读取内存的函数然后跳过你的进程什么的.....
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
LZ说的应该是注入DLL到游戏进程,游戏扫自己进程里的可疑模块吧,这样可以直接用指针扫了,不需要读写内存API了,HOOK了也没用。
而且如果游戏有检测关键API是否被HOOK功能,本来不会被检测的也会被检测到,死的更难看。
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
“ 改PE头部的话,EXE文件会出现异常,所以不妥。。 ” 嘛←_← 话说楼主说的好像是某横版游戏 大家貌似注入都是直接拿检测线程开刀来着.........
记得有个利用cpu里的地址缓存来隐藏内存的技术来着 那个才能做到真正的内存隐藏.....
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
被查是的exe的特征,不是注入进去的dll
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
就是TP。他会扫我的exe。。
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
断其扫描线程 可否?
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
唔....DKOM断链+抹pspcidtable句柄表+hook ntopenprocess+hook ZwQuerySystemInformation试试?
非法模块的话好像不是搜进程内存来着.....
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
R3下有办法没? 就是扫内存的,我把exe重编译就好了,或者抹掉exe的pe头就好了
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
ring3下一样能断链.... 特征码什么的 试试VMProtect? 吧内存操作/注入相关的函数都VM掉
这个附件是在网上找到的 r3下隐藏进程的易语言模块源码 可以参考下 不过只能在xp下生效来着
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
修改进程页表,使检测的内存不可见
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
求这个 cpu里的地址缓存来隐藏 技术地址
|
能力值:
( LV4,RANK:40 )
|
-
-
20 楼
最近学到一个 自动更改md5
|
|
|