首页
社区
课程
招聘
未解决 [求助]某P 检测外部进程读 内存的速度。
发表于: 2020-9-2 15:13 14835

未解决 [求助]某P 检测外部进程读 内存的速度。

2020-9-2 15:13
14835

按道理来说。 要检测被其他进程读自己的内存地址。应该很难实现吧。

 

最近LZ碰到一个棘手的例子。

 

无论是 注入它进程 读它的内存。还是外部直接读 都是会出现被检测。

 

奇怪就奇怪在。

 

你一秒钟读任意 甚至空白地址 一万次!。只要是他的进程。就会被检测

 

如果你一秒钟只读 一千次以内。就没任何异常。

 

无论是空白内存地址。还是指定内存地址 都是一样。

 

它只检测 你的读写速度。 莫名其妙 实在耐人寻味。

 

尝试方法。内核 驱动 提权 注入。NT ZT 等 四种常见的api读内存 都尝试过。全部被检测

 

有大佬 提供什么要点的建议吗或者方向。有偿,。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (18)
雪    币: 914
活跃值: (2553)
能力值: ( LV5,RANK:68 )
在线值:
发帖
回帖
粉丝
2
你为什么不想想这可能是大数据分析呢,
比如分析绿色玩家的电脑不会高频率调用某些API
2020-9-2 15:31
1
雪    币: 12857
活跃值: (9172)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
3
别高频调用api就完事了,你说你1秒发起1W次DeviceIoControl然后你说你是合法软件,谁会信你呢?
2020-9-2 15:33
3
雪    币: 6124
活跃值: (4726)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
4
现在是大数据时代啦,没那么简单的
2020-9-2 18:00
0
雪    币: 139
活跃值: (292)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
hzqst 别高频调用api就完事了,你说你1秒发起1W次DeviceIoControl然后你说你是合法软件,谁会信你呢?
只能这样吗? 没有解决他的办法吗 大哥
2020-9-2 18:54
0
雪    币: 7695
活跃值: (5522)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
乐弟弟 只能这样吗? 没有解决他的办法吗 大哥
如果只是检测DeviceIoControl调用的话,不靠DeviceIoControl通信就行了.
2020-9-2 20:13
0
雪    币: 139
活跃值: (292)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
lononan 如果只是检测DeviceIoControl调用的话,不靠DeviceIoControl通信就行了.
直接api读 也是一样被检测额- -
2020-9-2 20:23
0
雪    币: 1790
活跃值: (3909)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
8
乐弟弟 直接api读 也是一样被检测额- -
API内部还不是走的DeviceIoControl
2020-9-7 08:38
0
雪    币: 477
活跃值: (1412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
直接r0搞
2020-9-26 20:12
0
雪    币: 14
活跃值: (948)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
难怪了.我也是遇到这情况,驱动里挂靠进程1秒百万次都没事,只要读了内存就没了,纯指针读取,不懂怎么检测的
2020-12-15 14:20
0
雪    币: 14
活跃值: (948)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
老哥你解决了读写次数检测问题么?
2020-12-21 08:28
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
13
不是DeviceIoControl通信的问题
2020-12-21 10:46
0
雪    币: 14
活跃值: (948)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
wx_Honey_Qing 不是DeviceIoControl通信的问题
这个就很迷,我没用DeviceIoControl通讯.查看了物理页面的属性,也正常,不是01hook检测还能检测到指针读取?
2020-12-22 00:56
0
雪    币: 35
活跃值: (1796)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
指针读取也是一样? 难道他自己不读自己嘛
2022-5-28 18:24
0
雪    币: 35
活跃值: (1796)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
我后来遇到了,这个是用异常检测的
2023-1-9 23:33
0
雪    币: 4134
活跃值: (5847)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
17
shuwoa 我后来遇到了,这个是用异常检测的
可以展开说说吗
2023-1-10 11:09
0
雪    币: 341
活跃值: (1005)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
18
badboyl 可以展开说说吗
看看是不是https://bbs.kanxue.com/thread-275819.htm里面的2,关于PAGE_GUARD的使用
2023-1-16 09:31
0
雪    币: 1115
活跃值: (1259)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
19
手动计算物理内存然后读,缺页说明有保护
2023-2-23 12:01
0
游客
登录 | 注册 方可回帖
返回
//