如何检测程序内存是否被修改？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (34) ◀ 1 2
laiyier 雪币： 230 活跃值： (137) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 0 关注私信	laiyier 26 楼 chow 内存CRC  就是读取自己程序的内存效验下值跟发布时候的程序内存比较下，如果不一样  就认为被修改了。你可以效验，人家可以OD&nbs ... 兄弟，可以的，你这想法给了我很大的灵感，感觉好邪恶啊 2017-5-30 22:14 0
laiyier 雪币： 230 活跃值： (137) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 0 关注私信	laiyier 27 楼 Lcing 如果是注入的dll修改的内存，可以Hook自身的WriteMemory、VirtualProtect等 api进行检测，也可以检测注入的dll模块。注入的检测方法很多如果不是注入修改内存的、游戏也 ... 谢谢，好思路，外挂源码，能给个比较典型的吗，我去深挖下，知己知彼，百战不待 2017-5-30 22:17 0
xzquan 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	xzquan 28 楼小公司,别搞内核方面的了,看你来发贴求膈,我就知道你搞不过的,安心做好游戏,加几个简单的反注入功能 2017-5-31 02:43 0
laiyier 雪币： 230 活跃值： (137) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 0 关注私信	laiyier 29 楼 xzquan 小公司,别搞内核方面的了,看你来发贴求膈,我就知道你搞不过的,安心做好游戏,加几个简单的反注入功能懂行的啊 2017-5-31 06:05 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 30 楼现在行情就是别试图驱动反调试了一个是成本太高,而且效果并不如意（现在x64 除了上VT没啥好办法）二是能力估计也达不到 Hook自身Write/Read Memory 没啥用,都注入进去了直接mov xxx了还多次一举干嘛, Write/Read 直接远程就读写了..更不会注入进自身了只有选择 crc+vmp+各种检测混淆一坨了,每天更新一次,就跟hzqst兄说的差不多, 靠更新拖死辅助作者,各种栈回溯检测..暗桩检测....crc vmp互相蹂躏检测或者云端下发shellcode检测...... 添加无用变量和代码逻辑防止被特征,加好vmp 2017-6-8 15:15 0
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 31 楼不是现成的监控机制吗...MemoryWatch 见v校发的帖子 2017-6-16 17:26 0
巧绿叶雪币： 4 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	巧绿叶 32 楼 Hook LoadLibrary ,过滤注入 2018-2-2 19:31 0
荣耀VC 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	荣耀VC 33 楼除非你一天更新2个版本,不然不要想反外挂,对于外挂作者来说,任何加密和保护都是纸老虎,世界上没有任何一家公司能防得住外挂,攻防一旦打起来,就是持久战 2018-2-2 21:56 0
张烦雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	张烦 34 楼有时间有精力研究加密，不如多收集点数据吧，然后直接封号，你再怎么加密，到了汇编还不是一个样， 2018-10-3 06:17 0
smwhotjay 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	smwhotjay 35 楼 1.改内存，不需要dll注入，只有crc. 或者防止别人open你的process，writeprocessmemory。 2.多升级版本，客户端加密，增加破解成本。拖死他 2018-10-11 13:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (34) ◀ 1 2
laiyier 雪币： 230 活跃值： (137) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 0 关注私信	laiyier 26 楼 chow 内存CRC  就是读取自己程序的内存效验下值跟发布时候的程序内存比较下，如果不一样  就认为被修改了。你可以效验，人家可以OD&nbs ... 兄弟，可以的，你这想法给了我很大的灵感，感觉好邪恶啊 2017-5-30 22:14 0
laiyier 雪币： 230 活跃值： (137) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 0 关注私信	laiyier 27 楼 Lcing 如果是注入的dll修改的内存，可以Hook自身的WriteMemory、VirtualProtect等 api进行检测，也可以检测注入的dll模块。注入的检测方法很多如果不是注入修改内存的、游戏也 ... 谢谢，好思路，外挂源码，能给个比较典型的吗，我去深挖下，知己知彼，百战不待 2017-5-30 22:17 0
xzquan 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	xzquan 28 楼小公司,别搞内核方面的了,看你来发贴求膈,我就知道你搞不过的,安心做好游戏,加几个简单的反注入功能 2017-5-31 02:43 0
laiyier 雪币： 230 活跃值： (137) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 0 关注私信	laiyier 29 楼 xzquan 小公司,别搞内核方面的了,看你来发贴求膈,我就知道你搞不过的,安心做好游戏,加几个简单的反注入功能懂行的啊 2017-5-31 06:05 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 30 楼现在行情就是别试图驱动反调试了一个是成本太高,而且效果并不如意（现在x64 除了上VT没啥好办法）二是能力估计也达不到 Hook自身Write/Read Memory 没啥用,都注入进去了直接mov xxx了还多次一举干嘛, Write/Read 直接远程就读写了..更不会注入进自身了只有选择 crc+vmp+各种检测混淆一坨了,每天更新一次,就跟hzqst兄说的差不多, 靠更新拖死辅助作者,各种栈回溯检测..暗桩检测....crc vmp互相蹂躏检测或者云端下发shellcode检测...... 添加无用变量和代码逻辑防止被特征,加好vmp 2017-6-8 15:15 0
kz丶cn 雪币： 256 活跃值： (48) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 67 粉丝 1 关注私信	kz丶cn 31 楼不是现成的监控机制吗...MemoryWatch 见v校发的帖子 2017-6-16 17:26 0
巧绿叶雪币： 4 活跃值： (88) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	巧绿叶 32 楼 Hook LoadLibrary ,过滤注入 2018-2-2 19:31 0
荣耀VC 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	荣耀VC 33 楼除非你一天更新2个版本,不然不要想反外挂,对于外挂作者来说,任何加密和保护都是纸老虎,世界上没有任何一家公司能防得住外挂,攻防一旦打起来,就是持久战 2018-2-2 21:56 0
张烦雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	张烦 34 楼有时间有精力研究加密，不如多收集点数据吧，然后直接封号，你再怎么加密，到了汇编还不是一个样， 2018-10-3 06:17 0
smwhotjay 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	smwhotjay 35 楼 1.改内存，不需要dll注入，只有crc. 或者防止别人open你的process，writeprocessmemory。 2.多升级版本，客户端加密，增加破解成本。拖死他 2018-10-11 13:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复