首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]除去hook之外,有其他办法在R3阻止或监控writeprocesmemory吗?
发表于: 2019-2-23 02:36 3891

[求助]除去hook之外,有其他办法在R3阻止或监控writeprocesmemory吗?

Lothario 活跃值
2019-2-23 02:36
3891
我能想到的就只有hook了。驱动不熟悉,win10没有签名的驱动也用不了吧。。。头大。

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (7)
X-Blades
雪    币: 45
活跃值: (2289)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
R3 有很多种  常见的 判断前5个字节  第二种 无线修改内存属性置不可写,第三种就是自构造ZwWriteProcessmemory  sycall 函数 直接跑 wow64 
2019-2-23 03:23
0
雪碧丶
雪    币: 30
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
CrackFive R3 有很多种 常见的 判断前5个字节 第二种 无线修改内存属性置不可写,第三种就是自构造ZwWriteProcessmemory sycall 函数 直接跑 wow64
楼主问的怎么不Hook阻止和监控 不是判断和防止被Hook
2019-2-23 09:04
0
Lothario
雪    币: 177
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
雪碧丶 楼主问的怎么不Hook阻止和监控 不是判断和防止被Hook
对,是我没有描述清楚。
目前是hook拦截发送writeprocessmemoru的。但是总不能把全部进程都hook。
2019-2-23 11:12
0
白菜大哥
雪    币: 12502
活跃值: (3048)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
5
有个猥琐办法,故意开另一个进程,原先进程用来伪装混淆视听。这样的话,就算他修改了你的伪装进程,也没有什么效果,还是会被你的真正进程修改回去。
2019-2-23 17:14
0
黑洛
雪    币: 6124
活跃值: (4471)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
6
消息钩子 全局注入
2019-3-19 10:31
0
ggggg
雪    币: 1736
活跃值: (847)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
没办法
2019-3-29 15:35
0
hzqst
雪    币: 12848
活跃值: (9108)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
8
能这么简单就能做到鹅厂就不需要雇几百号人做一个TP了
最后于 2019-3-29 19:15 被hzqst编辑 ,原因:
2019-3-29 16:28
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//