首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[讨论]x64下绕过ObjectType回调
发表于: 2017-12-23 23:03 5302

[讨论]x64下绕过ObjectType回调

xxyiyi 活跃值
2017-12-23 23:03
5302
某游戏注册了ObjectType回调,也就是调用ObRegisterCallbacks函数注册的回调来防止被获取进程权限。
于是想到了如下一些办法:
1.直接摘除回调,游戏非法
2.回调头部写入返回,游戏非法
3.修改ObjectType中的标志位,发现游戏不停的在对这个标志位回写。所以这样也不行。
不知道各位是如何绕过这个回调的?

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (8)
xxyiyi
雪    币: 337
活跃值: (631)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
都没有人啊,自己先占个沙发
2017-12-25 10:03
0
wowocock
雪    币: 405
活跃值: (2150)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
3
EPT
2017-12-25 11:10
0
xxyiyi
雪    币: 337
活跃值: (631)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
wowocock EPT
EPT直接钩回调吗?判断是我们的进程就直接返回,是游戏的进程就调用原来的回调?我这样做过,但是判断到当前进程是我们自己的进程,然后什么都不做直接返回,OpenPorcess还是获取不到权限
2017-12-25 11:40
0
MaMy
雪    币: 12
活跃值: (388)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
....在注册个比游戏的低就行,他抹掉你在加回来
2017-12-25 16:07
0
xxyiyi
雪    币: 337
活跃值: (631)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
MaMy ....在注册个比游戏的低就行,他抹掉你在加回来
比游戏低的是什么意思?如何能注册一个回调比游戏的回调后执行呢?
2017-12-25 17:54
0
MaMy
雪    币: 12
活跃值: (388)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
xxyiyi 比游戏低的是什么意思?如何能注册一个回调比游戏的回调后执行呢?
就是那个神奇的数字..还不懂我也没辙
2017-12-25 17:57
0
xxyiyi
雪    币: 337
活跃值: (631)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
MaMy 就是那个神奇的数字..还不懂我也没辙
谢谢了,我去研究研究
2017-12-25 18:06
0
xiaxiansheng
雪    币: 149
活跃值: (38)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
那个数字我知道是一个编号。。但是。。。如何看别人的编号呢???或者。怎么确定。自己选择的这个编号是可以使用的?
2018-6-19 21:19
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//