能力值:
( LV4,RANK:50 )
|
-
-
2 楼
源码中带有简单的调用例子.
有人会不创建线程读取的,麻烦告诉下呗
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
谢谢楼主分享技术帖
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
谢谢楼主分享技术帖
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
感谢发布。。。。。。
|
能力值:
( LV12,RANK:760 )
|
-
-
6 楼
真实原理是system进程可以读写跟kernelmode不kernelmode没什么关系
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
mark
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
马克
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
V总爆料了,大家都去模拟那进程访问把,就可以了
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
以前csrss进程也可以读写,现在貌似也不行了。
|
能力值:
( LV12,RANK:760 )
|
-
-
11 楼
csrss进程也可以读写,只是需要是真的csrss。
PS:其实smss也能读写
|
能力值:
(RANK:290 )
|
-
-
12 楼
..你这个代码跟你这个没任何关系, 那是通过CR3来的,dxx 是 替换CR3来实现的,没用
|
能力值:
( LV8,RANK:120 )
|
-
-
13 楼
原理虽然不在这里 但是SYSTEM是被过滤的。
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
果然一夜之间大神把所有方法都爆出来了,感情真的很牛呀。
|
能力值:
( LV4,RANK:50 )
|
-
-
15 楼
原来是这样,明白了,谢谢
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
这个在TX白名单里面的进程是可以读取的
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
我用的是CsrGetProcessId得到的csrss进程ID
|
能力值:
( LV9,RANK:280 )
|
-
-
18 楼
其实注入模块到csrss里面 再直接ReadProcessMemory就可以了。
tx如果禁止csrss读取dxf内存,就会导致dxf进程报错,这个我试过,所以他必须过滤掉csrss smss这些system进程
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
这种跳板如何保证效率
如果调试数据没问题
那种1秒几百次上千循环,那一语言那循环恐怖一B
基本要和系统那个读写一样效率,才能保证他们那些循环的效率
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
忘记引用了
|
能力值:
( LV9,RANK:280 )
|
-
-
21 楼
活该谁让你用易语言写那种循环了。。。易语言本来就不适合用来写跟系统紧密相关的东西
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
也就是市面上还有另外一种不是跳板的读写,要不易语言要死
猜测是模拟成系统白名单或者可信进程
决无可能是跳板
跳板注入,调试分析,都不错
强力读写就不行了
|
能力值:
( LV9,RANK:280 )
|
-
-
23 楼
进程名叫csrss.exe就行,CF的驱动有点弱智用PsGetProcessImageFileName判断csrss的
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
25 楼
对于64位,某些地址写内存的时候,确实可以写进去,然后整个内存块的代码都跟着秒变了,接下来就会导致进程运行乱码而崩溃(暂停就不会崩溃)
由于未发现内核Hook,所以很可能被VT给隐藏了
结果是下cc断点也会秒崩溃,反调试和防止写内存两不误
|
|
|