首页
社区
课程
招聘
[求助]请问毒奶粉,内存注入dll,几小时就全部封号,重新编译又可以稳定几小时,游戏怎么检测的
发表于: 2016-1-10 08:42 12919

[求助]请问毒奶粉,内存注入dll,几小时就全部封号,重新编译又可以稳定几小时,游戏怎么检测的

2016-1-10 08:42
12919
请问毒奶粉,内存注入dll,几小时就全部封号重新编译又可以稳定几小时,游戏怎么检测的

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (20)
雪    币: 4751
活跃值: (1783)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
枚举进程加载的模块  可疑模块就上传
2016-1-10 09:57
0
雪    币: 64
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
3
内存注入无模块,Xuter都看不到
2016-1-10 10:00
0
雪    币: 44
活跃值: (186)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
内存注入dll这个烂大街的技术,TX的工程师都搞不定,那也可以下岗了。
2016-1-10 11:46
0
雪    币: 6553
活跃值: (4351)
能力值: ( LV10,RANK:163 )
在线值:
发帖
回帖
粉丝
5
呵呵,TX的工程师战斗力不足5.
2016-1-10 11:52
0
雪    币: 996
活跃值: (1443)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
无模块 不代表不能定位内存特征 基本PE知识 楼主多补习下再来发问吧
2016-1-10 12:49
0
雪    币: 64
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
7
pe擦除了
2016-1-10 13:14
0
雪    币: 4531
活跃值: (5159)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
8
EIP跑到了非常规模块的地址空间,就可以视为可疑
2016-1-10 13:31
0
雪    币: 4751
活跃值: (1783)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
果然是dll注入的   可以暴力枚举   抹掉没用  Xuter有些地方偷懒了 毕竟你用的是free版

暴力枚举
//typedef struct _MEMORY_BASIC_INFORMATION {
//	PVOID BaseAddress;                  //查询内存块所占的第一个页面基地址
//	PVOID AllocationBase;               //内存块所占的第一块区域基地址,小于等于BaseAddress,
//	//也就是说BaseAddress一定包含在AllocationBase分配的范围内
//	DWORD AllocationProtect;            //区域被初次保留时赋予的保护属性
//	SIZE_T RegionSize;                  //从BaseAddress开始,具有相同属性的页面的大小,
//	DWORD State;                        //页面的状态,有三种可能值:MEM_COMMIT、MEM_FREE和MEM_RESERVE,
//	//这个参数对我们来说是最重要的了,从中我们便可知指定内存页面的状态了
//	DWORD Protect;                      //页面的属性,其可能的取值与AllocationProtect相同
//	DWORD Type;                         //该内存块的类型,有三种可能值:MEM_IMAGE、MEM_MAPPED和MEM_PRIVATE
//} MEMORY_BASIC_INFORMATION, *PMEMORY_BASIC_INFORMATION;
2016-1-10 23:05
0
雪    币: 23
活跃值: (1401)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
暴力内存扫描,从00000000 扫到7FFFFFFF .怎么 隐藏都没用
2016-1-11 02:54
0
雪    币: 64
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
11
这个API hook了 NtQuexxxVir
2016-1-11 11:15
0
雪    币: 13
活跃值: (26)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
12
这不是要HOOK吗?
2016-1-14 17:23
0
雪    币: 158
活跃值: (349)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
请问楼主解决了吗?这么解决的,能讲讲吗?
2016-4-14 00:22
0
雪    币: 433
活跃值: (1910)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
15
处理一下ZWQ
2016-4-14 00:23
0
雪    币: 158
活跃值: (349)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
ZwQueryVirtualMemory吗?我是这样处理的。直接修改的他查询的地址。
这样的好像无效果,请问要这么处理?
2016-4-14 01:16
0
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
17
通过分页属性就可以找到你
2016-4-14 10:07
0
雪    币: 158
活跃值: (349)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
请问具体是怎么样子的呢?能详细点么?
2016-4-14 16:34
0
雪    币: 11
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
如果游戏取特征码, 那么试试将全局变量加密,并且一定时间内密码改变一次;将代码段改为可写,代码中插入花指令,并且一定时间内(/或运行一次),改变一次。
楼主试试,如果行。echo下
2016-4-25 12:16
0
雪    币: 719
活跃值: (777)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
20
模仿病毒~~自动变异~~
2016-4-27 20:27
0
雪    币: 95
活跃值: (1041)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
楼主解决了吗
2020-3-16 15:37
0
游客
登录 | 注册 方可回帖
返回
//