[原创]发现最近好多在说T*启动时清空CR3 如何去恢复。方法很简单。我把代码今天贴出来。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]发现最近好多在说T*启动时清空CR3 如何去恢复。方法很简单。我把代码今天贴出来。

发表于: 2018-12-4 23:47 11975

[原创]发现最近好多在说T*启动时清空CR3 如何去恢复。方法很简单。我把代码今天贴出来。

BDBig

2018-12-4 23:47

11975

DXF可以直接恢复CR3 无检测。CF就不行。CF有检测。

CF只能出PTML4入手。就算你恢复了CR3.你们会发现部分地址你们还是读不到？

为啥呢。这个问题问的好。看看 0E 就明白了。核心数据全部清空当有进程去访问

这些地址地址不存在触发异常进入 0E 。T*判断触发进程是不是自己的进程是自己的进程

就给他一个抹掉的地址。不是真的直接返回0.

这个在DXF影响不大。在CF上影响比较严重。

我之前想过HOOK MmMapIoSpace 来判断。意义不大。

如果是你直接返回NULL.直接升天

如何解决这个问题呢？

嵌套 TP HOOK 进行HOOK 按照某位网友给我的思路就是。

具体代码我也没有实现。有兴趣的自己去实现一下吧

PULONGLONG Mapped_Memory_Addr(ULONGLONG Addr, int Mapped_len, int Catch)

{

PHYSICAL_ADDRESS Physical_address;

RtlZeroMemory(&Physical_address, sizeof(PHYSICAL_ADDRESS));

if (Addr <= 0)

{

return NULL;

}

Physical_address.QuadPart = Addr;

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2018-12-4 23:55 被BDBig编辑，原因：

上传的附件：

7.png （184.47kb，11次下载）
10.jpg （176.27kb，7次下载）

收藏・30

免费・4

支持

最新回复 (26) 1 2 ▶
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 2 楼 #define PROCESS_ALL_ACCESS_THREAD (STANDARD_RIGHTS_REQUIRED \| SYNCHRONIZE \| THREAD_ALL_ACCESS\|\ 0xFFFF) 2018-12-4 23:54 0
红眼兽雪币： 1180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	红眼兽 3 楼 2018-12-5 00:01 0
wx_clay 雪币： 854 活跃值： (69) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 34 粉丝 1 关注私信	wx_clay 1 4 楼占楼 2018-12-5 00:04 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 5 楼被安排的明明白白 2018-12-5 00:20 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 6 楼小艾被安排的明明白白这东西肯定是被安排的。但是为啥没安排。我都感觉是T*在放水 2018-12-5 00:26 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 7 楼鹅厂：懒得管实际上他都接管idt和msr了，只要在进内核的时候把再cr3改回假的，你们这些各种xx回调都gg 顺便你这样依然没有解决关键数据PTE被抹的问题最后于 2018-12-5 08:17 被hzqst编辑，原因： 2018-12-5 08:16 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 8 楼 hzqst 鹅厂：懒得管实际上他都接管idt和msr了，只要在进内核的时候把再cr3改回假的，你们这些各种xx回调都gg顺便你这样依然没有解决关键数据PTE被抹的问题我换了1809 就不存在着问题了。哈哈。清PTE的我在DXF没有发现。到是CF这样的黄昏游戏竟然清掉了 2018-12-5 09:02 0
固件安全雪币： 10704 活跃值： (809) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	固件安全 9 楼当场逮捕，这只是鹅厂员工没把事情做绝吧，毕竟都接管msr了，话说这方法应该被安排的明明白白了吧 2018-12-5 09:12 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 10 楼最后于 2018-12-5 09:18 被BDBig编辑，原因： 2018-12-5 09:18 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 11 楼固件安全 [em_36]当场逮捕，这只是鹅厂员工没把事情做绝吧，毕竟都接管msr了，话说这方法应该被安排的明明白白了吧 OE都接管。肯定呀。这种方法没有被安排。。鹅场不想管。我现在上游戏看见外挂都恶心。现在大部分的读写的玩意都是注入。注入shellcode。这东西也不知道啥时间管。据悉市场价 CF : 800一月。APC注入shellcode.DXF 3 - 4K /月 2018-12-5 09:18 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 12 楼线程回调里就可以拿到cr3了，为啥要这么麻烦？ 2018-12-5 09:31 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 13 楼顺便给你说一下，tp在win10并不是接管idt 0e 2018-12-5 09:32 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 14 楼直接驱动拦截协议通讯，分析封包，懒得去逼逼驱动防护 2018-12-5 09:36 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 15 楼 mark下，不明觉厉 2018-12-5 09:48 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 16 楼 BDBig 我换了1809 就不存在着问题了。哈哈。清PTE的我在DXF没有发现。到是CF这样的黄昏游戏竟然清掉了 1809的安排pg，鹅厂还没搞稳定，大概是这个原因 2018-12-5 10:05 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 17 楼刘铠文顺便给你说一下，tp在win10并不是接管idt 0e 你说的是高版本的的WIN10 像我这种的万年不更新的接管了。 2018-12-5 10:21 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 18 楼刘铠文线程回调里就可以拿到cr3了，为啥要这么麻烦？线程回掉最后你一样要拉OB站坑。为什么占坑和恢复页表一体呢。又少了写了一个线程回掉的代码 2018-12-5 10:22 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 19 楼 hzqst 1809的安排pg，鹅厂还没搞稳定，大概是这个原因估计等他搞稳定了。微软在拉一波更新。哈哈。据说现在某大手子的调试器只支持没有挂MSR 和 IDT版的WIN10 WIN7。随便问一下。pte清空了能不能不备份就给恢复呢？或者反清空 2018-12-5 10:23 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 20 楼 hzqst 鹅厂：懒得管实际上他都接管idt和msr了，只要在进内核的时候把再cr3改回假的，你们这些各种xx回调都gg顺便你这样依然没有解决关键数据PTE被抹的问题我获取到真实页表 KeAttach进去访问游戏内存此时pte因为被清0 会触发异常进入idt tp此时应该能给我放行吧 2018-12-5 15:02 0
fakersaber 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	fakersaber 21 楼 win7上这东西是没有用滴 2018-12-6 09:03 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 22 楼 fakersaber win7上这东西是没有用滴[em_1] W7没用开玩笑。看懂什么意思了吗？你以为只是一个OB吗？看清楚里边的代码亲。 PULONG64 Fake_PTML4 = Mapped_Memory_Addr(*(PULONG64)((ULONG64)pe + 0x28), 0x1000, 0); PULONG64 True_PTML4 = Mapped_Memory_Addr(__readcr3(), 0x1000, 0); if (Fake_PTML4[0] != True_PTML4[0]) { _disable(); if (Fake_PTML4 != NULL && True_PTML4 != NULL) { RtlCopyMemory(Fake_PTML4, True_PTML4, 0x1000); } MmUnmapIoSpace(Fake_PTML4, 0x1000); MmUnmapIoSpace(True_PTML4, 0x1000); _enable(); 核心代码看清楚最后于 2018-12-6 17:26 被BDBig编辑，原因： 2018-12-6 17:24 0
木志本柯雪币： 4747 活跃值： (4306) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 23 楼呦西是干货 2018-12-11 19:28 0
木志本柯雪币： 4747 活跃值： (4306) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 24 楼 hzqst 鹅厂：懒得管实际上他都接管idt和msr了，只要在进内核的时候把再cr3改回假的，你们这些各种xx回调都gg顺便你这样依然没有解决关键数据PTE被抹的问题呦西前辈给提了个醒以后如果不能读写或许能考虑你这个建议 2018-12-11 19:43 0
Besttwuya 雪币： 198 活跃值： (256) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	Besttwuya 25 楼小心鹅厂安排，低调点！ 2019-1-12 04:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

BDBig

发帖

124

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 2 楼 #define PROCESS_ALL_ACCESS_THREAD (STANDARD_RIGHTS_REQUIRED \| SYNCHRONIZE \| THREAD_ALL_ACCESS\|\ 0xFFFF) 2018-12-4 23:54 0
红眼兽雪币： 1180 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	红眼兽 3 楼 2018-12-5 00:01 0
wx_clay 雪币： 854 活跃值： (69) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 34 粉丝 1 关注私信	wx_clay 1 4 楼占楼 2018-12-5 00:04 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 5 楼被安排的明明白白 2018-12-5 00:20 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 6 楼小艾被安排的明明白白这东西肯定是被安排的。但是为啥没安排。我都感觉是T*在放水 2018-12-5 00:26 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 7 楼鹅厂：懒得管实际上他都接管idt和msr了，只要在进内核的时候把再cr3改回假的，你们这些各种xx回调都gg 顺便你这样依然没有解决关键数据PTE被抹的问题最后于 2018-12-5 08:17 被hzqst编辑，原因： 2018-12-5 08:16 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 8 楼 hzqst 鹅厂：懒得管实际上他都接管idt和msr了，只要在进内核的时候把再cr3改回假的，你们这些各种xx回调都gg顺便你这样依然没有解决关键数据PTE被抹的问题我换了1809 就不存在着问题了。哈哈。清PTE的我在DXF没有发现。到是CF这样的黄昏游戏竟然清掉了 2018-12-5 09:02 0
固件安全雪币： 10704 活跃值： (809) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	固件安全 9 楼当场逮捕，这只是鹅厂员工没把事情做绝吧，毕竟都接管msr了，话说这方法应该被安排的明明白白了吧 2018-12-5 09:12 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 10 楼最后于 2018-12-5 09:18 被BDBig编辑，原因： 2018-12-5 09:18 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 11 楼固件安全 [em_36]当场逮捕，这只是鹅厂员工没把事情做绝吧，毕竟都接管msr了，话说这方法应该被安排的明明白白了吧 OE都接管。肯定呀。这种方法没有被安排。。鹅场不想管。我现在上游戏看见外挂都恶心。现在大部分的读写的玩意都是注入。注入shellcode。这东西也不知道啥时间管。据悉市场价 CF : 800一月。APC注入shellcode.DXF 3 - 4K /月 2018-12-5 09:18 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 12 楼线程回调里就可以拿到cr3了，为啥要这么麻烦？ 2018-12-5 09:31 0
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 396 粉丝 42 关注私信	はつゆき 13 楼顺便给你说一下，tp在win10并不是接管idt 0e 2018-12-5 09:32 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 14 楼直接驱动拦截协议通讯，分析封包，懒得去逼逼驱动防护 2018-12-5 09:36 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 15 楼 mark下，不明觉厉 2018-12-5 09:48 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 16 楼 BDBig 我换了1809 就不存在着问题了。哈哈。清PTE的我在DXF没有发现。到是CF这样的黄昏游戏竟然清掉了 1809的安排pg，鹅厂还没搞稳定，大概是这个原因 2018-12-5 10:05 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 17 楼刘铠文顺便给你说一下，tp在win10并不是接管idt 0e 你说的是高版本的的WIN10 像我这种的万年不更新的接管了。 2018-12-5 10:21 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 18 楼刘铠文线程回调里就可以拿到cr3了，为啥要这么麻烦？线程回掉最后你一样要拉OB站坑。为什么占坑和恢复页表一体呢。又少了写了一个线程回掉的代码 2018-12-5 10:22 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 19 楼 hzqst 1809的安排pg，鹅厂还没搞稳定，大概是这个原因估计等他搞稳定了。微软在拉一波更新。哈哈。据说现在某大手子的调试器只支持没有挂MSR 和 IDT版的WIN10 WIN7。随便问一下。pte清空了能不能不备份就给恢复呢？或者反清空 2018-12-5 10:23 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 20 楼 hzqst 鹅厂：懒得管实际上他都接管idt和msr了，只要在进内核的时候把再cr3改回假的，你们这些各种xx回调都gg顺便你这样依然没有解决关键数据PTE被抹的问题我获取到真实页表 KeAttach进去访问游戏内存此时pte因为被清0 会触发异常进入idt tp此时应该能给我放行吧 2018-12-5 15:02 0
fakersaber 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	fakersaber 21 楼 win7上这东西是没有用滴 2018-12-6 09:03 0
BDBig 雪币： 634 活跃值： (1149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 22 楼 fakersaber win7上这东西是没有用滴[em_1] W7没用开玩笑。看懂什么意思了吗？你以为只是一个OB吗？看清楚里边的代码亲。 PULONG64 Fake_PTML4 = Mapped_Memory_Addr(*(PULONG64)((ULONG64)pe + 0x28), 0x1000, 0); PULONG64 True_PTML4 = Mapped_Memory_Addr(__readcr3(), 0x1000, 0); if (Fake_PTML4[0] != True_PTML4[0]) { _disable(); if (Fake_PTML4 != NULL && True_PTML4 != NULL) { RtlCopyMemory(Fake_PTML4, True_PTML4, 0x1000); } MmUnmapIoSpace(Fake_PTML4, 0x1000); MmUnmapIoSpace(True_PTML4, 0x1000); _enable(); 核心代码看清楚最后于 2018-12-6 17:26 被BDBig编辑，原因： 2018-12-6 17:24 0
木志本柯雪币： 4747 活跃值： (4306) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 23 楼呦西是干货 2018-12-11 19:28 0
木志本柯雪币： 4747 活跃值： (4306) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 364 粉丝 4 关注私信	木志本柯 24 楼 hzqst 鹅厂：懒得管实际上他都接管idt和msr了，只要在进内核的时候把再cr3改回假的，你们这些各种xx回调都gg顺便你这样依然没有解决关键数据PTE被抹的问题呦西前辈给提了个醒以后如果不能读写或许能考虑你这个建议 2018-12-11 19:43 0
Besttwuya 雪币： 198 活跃值： (256) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 1 关注私信	Besttwuya 25 楼小心鹅厂安排，低调点！ 2019-1-12 04:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复