新TP的内存保护技术 (仅修改一个字节)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

新TP的内存保护技术 (仅修改一个字节)

发表于: 2020-11-4 15:22 29940

新TP的内存保护技术 (仅修改一个字节)

xiaofu

2020-11-4 15:22

29940

TP最近全体升级成了ACE系列的驱动保护,强度弱了亿点。

发现了它有个很有意思的功能，启动程序大约几分钟后，就不能再修改其代码段的内存属性，也就不能修改其只读代码段了。效果跟BE使用的remap非常相似。

那么它到底是remap还是if hook还是什么别的其他技术来实现的呢。

首先它的内存属性前后都是image类型的没变过，不太像remap。关闭系统的ifhook后，仍然不能修改。说明ACE是通过其他方式来实现的。

先调用ZwProtectVirtualMemory来修改目标代码段的属性看下错误，

C000009D是个很少见的错误，一般来说跟内存相关的API不会返回这样的错误值。

看一下ntos中都有什么地方会返回这个错误

可以看到，还是非常少的，寥寥无几,我们一个一个尝试，把这里的错误值改成其他的错误，最终我们得到了ZwProtectVirtualMemory的错误是由VslpEnterIumSecureMode引起的。

可是修改内存属性为什么会进入这个函数里面呢。查看一下调用栈

原来在MmProtectVirtualMemory中，如果被修改的内存vad flag中如果第16位是1，则会进入这个分支。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・125

免费・22

支持

赞赏记录

参与人

雪币

留言

时间

naMedoc

为你点赞~

2022-12-9 20:43

那么骄傲丶

为你点赞~

2022-10-17 11:56

IKAIL

为你点赞~

2022-8-27 08:30

一笑人间万事

为你点赞~

2022-7-30 10:18

coneco

为你点赞~

2022-7-27 10:08

kira_yamato

为你点赞~

2022-5-17 16:52

tutuj

为你点赞~

2022-5-12 11:10

魔童

为你点赞~

2022-5-7 11:16

mb_hgrbqfun

为你点赞~

2021-10-4 20:17

mb_bwbnnytm

为你点赞~

2021-2-25 20:12

Mr.hack

为你点赞~

2021-2-11 02:01

wx_瑾轩i 

为你点赞~

2021-2-6 21:54

御剑残风

为你点赞~

2021-1-22 22:37

懵懂的小白

为你点赞~

2020-11-22 15:03

慢热型

为你点赞~

2020-11-10 10:50

pushmop

为你点赞~

2020-11-10 10:35

qqzxc

为你点赞~

2020-11-10 09:17

叽叽‘and1=1

为你点赞~

2020-11-4 21:26

dx苹果的心愿

为你点赞~

2020-11-4 20:32

aas102400

为你点赞~

2020-11-4 17:16

blindtiger

为你点赞~

2020-11-4 15:40

黑手鱼

为你点赞~

2020-11-4 15:26

最新回复 (30) 1 2 ▶
のばら雪币： 789 活跃值： (2019) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 133 粉丝 7 关注私信	のばら 2 楼单总牛批 2020-11-4 15:39 0
淡然他徒弟雪币： 6166 活跃值： (4922) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 3 楼单总牛逼plus 。。。 2020-11-4 18:00 0
hhkqqs 雪币： 12339 活跃值： (5854) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 42 关注私信	hhkqqs 1 4 楼能想出这种骚操作的都是人才 2020-11-4 22:06 0
pureGavin 雪币： 14492 活跃值： (17493) 能力值： ( LV12，RANK：290 ) 在线值：发帖 84 回帖 1415 粉丝 258 关注私信	pureGavin 3 5 楼 mark，请问这是鹅厂的TP吗？ 2020-11-4 23:13 0
Mr.Smlie 雪币： 244 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Mr.Smlie 6 楼单总牛逼plus 。。。 2020-11-5 00:21 0
huojier 雪币： 137 活跃值： (1360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 85 粉丝 8 关注私信	huojier 7 楼这技术是win10独享的吧 ,让win7用户情何以堪 2020-11-5 09:34 0
wonderzdh 雪币： 62 活跃值： (971) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 8 楼求指教弱了哪亿点？ 2020-11-5 10:32 0
mydvdf 雪币： 711 活跃值： (253) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 2 关注私信	mydvdf 9 楼单总牛批 2020-11-5 10:55 0
qdjytony 雪币： 665 活跃值： (1051) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 10 楼单鸽牛批! 2020-11-5 14:27 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 11 楼版主怎么不加精 2020-11-5 14:41 0
黄小付雪币： 90 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	黄小付 12 楼感谢大佬又可以秒破谋p了真香 2020-11-5 16:11 0
yoie 雪币： 2 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	yoie 13 楼骚操作 2020-11-9 10:16 0
ugvjewxf 雪币： 615 活跃值： (580) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 14 楼向大佬学习， 2020-11-9 19:03 0
qqzxc 雪币： 4179 活跃值： (4242) 能力值： ( LV3，RANK：37 ) 在线值：发帖 10 回帖 68 粉丝 48 关注私信	qqzxc 15 楼单总牛逼，为什么没有精？ 2020-11-10 09:17 0
实都雪币： 66 活跃值： (2735) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	实都 16 楼骚啊 2020-11-10 09:49 0
gamehack 雪币： 6084 活跃值： (5490) 能力值： ( LV5，RANK：65 ) 在线值：发帖 5 回帖 427 粉丝 18 关注私信	gamehack 17 楼感谢分享! 2020-11-10 10:54 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 18 楼话说你修改了那些返回status 不触发PG吗为啥不直接单步调试呢 2020-11-11 17:00 0
p小鸡雪币： 27 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	p小鸡 19 楼就想知道毒奶粉现在到底有没有crc.. 2020-11-11 17:08 0
lhxdiao 雪币： 2089 活跃值： (3933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 111 关注私信	lhxdiao 20 楼是哪个人才研究出来的东西 2020-11-13 12:24 0
小希希雪币： 1802 活跃值： (4000) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 335 粉丝 18 关注私信	小希希 21 楼 mark学习了 2020-11-13 12:50 0
黄枫叶雪币： 212 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 1 关注私信	黄枫叶 22 楼单总牛逼，有空看下QQ。。 2020-11-14 20:33 0
qinshaoding 雪币： 0 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	qinshaoding 23 楼 p小鸡就想知道毒奶粉现在到底有没有crc.. 当然有啊 ACE-ATS32这个就是负责对base32和game32的CRC校验上传的 2021-1-19 10:32 0
wx_瑾轩i  雪币： 19 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_瑾轩i  24 楼牛逼 2021-2-6 21:54 0
倪大大雪币： 914 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	倪大大 25 楼请教个问题，如何全局关闭ifhook或者禁用事件跟踪 2021-2-18 01:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xiaofu

118

发帖

638

回帖

420

RANK

关注

私信

他的文章

[原创]EasyAnticheat的内存特征算法 21315
[原创]X64 Kernel Shellcode获取Ntos Base 11905
[讨论]Eac对抗HyperVisor的实现 12607
新TP的内存保护技术 (仅修改一个字节) 29941
[原创]be新加的hypervisor检测 11735

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
のばら雪币： 789 活跃值： (2019) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 133 粉丝 7 关注私信	のばら 2 楼单总牛批 2020-11-4 15:39 0
淡然他徒弟雪币： 6166 活跃值： (4922) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 220 粉丝 105 关注私信	淡然他徒弟 1 3 楼单总牛逼plus 。。。 2020-11-4 18:00 0
hhkqqs 雪币： 12339 活跃值： (5854) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 174 粉丝 42 关注私信	hhkqqs 1 4 楼能想出这种骚操作的都是人才 2020-11-4 22:06 0
pureGavin 雪币： 14492 活跃值： (17493) 能力值： ( LV12，RANK：290 ) 在线值：发帖 84 回帖 1415 粉丝 258 关注私信	pureGavin 3 5 楼 mark，请问这是鹅厂的TP吗？ 2020-11-4 23:13 0
Mr.Smlie 雪币： 244 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Mr.Smlie 6 楼单总牛逼plus 。。。 2020-11-5 00:21 0
huojier 雪币： 137 活跃值： (1360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 85 粉丝 8 关注私信	huojier 7 楼这技术是win10独享的吧 ,让win7用户情何以堪 2020-11-5 09:34 0
wonderzdh 雪币： 62 活跃值： (971) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 323 粉丝 5 关注私信	wonderzdh 1 8 楼求指教弱了哪亿点？ 2020-11-5 10:32 0
mydvdf 雪币： 711 活跃值： (253) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 55 粉丝 2 关注私信	mydvdf 9 楼单总牛批 2020-11-5 10:55 0
qdjytony 雪币： 665 活跃值： (1051) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 85 粉丝 3 关注私信	qdjytony 10 楼单鸽牛批! 2020-11-5 14:27 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 11 楼版主怎么不加精 2020-11-5 14:41 0
黄小付雪币： 90 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 64 粉丝 0 关注私信	黄小付 12 楼感谢大佬又可以秒破谋p了真香 2020-11-5 16:11 0
yoie 雪币： 2 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	yoie 13 楼骚操作 2020-11-9 10:16 0
ugvjewxf 雪币： 615 活跃值： (580) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 14 楼向大佬学习， 2020-11-9 19:03 0
qqzxc 雪币： 4179 活跃值： (4242) 能力值： ( LV3，RANK：37 ) 在线值：发帖 10 回帖 68 粉丝 48 关注私信	qqzxc 15 楼单总牛逼，为什么没有精？ 2020-11-10 09:17 0
实都雪币： 66 活跃值： (2735) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 148 粉丝 1 关注私信	实都 16 楼骚啊 2020-11-10 09:49 0
gamehack 雪币： 6084 活跃值： (5490) 能力值： ( LV5，RANK：65 ) 在线值：发帖 5 回帖 427 粉丝 18 关注私信	gamehack 17 楼感谢分享! 2020-11-10 10:54 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 18 楼话说你修改了那些返回status 不触发PG吗为啥不直接单步调试呢 2020-11-11 17:00 0
p小鸡雪币： 27 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	p小鸡 19 楼就想知道毒奶粉现在到底有没有crc.. 2020-11-11 17:08 0
lhxdiao 雪币： 2089 活跃值： (3933) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 111 关注私信	lhxdiao 20 楼是哪个人才研究出来的东西 2020-11-13 12:24 0
小希希雪币： 1802 活跃值： (4000) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 335 粉丝 18 关注私信	小希希 21 楼 mark学习了 2020-11-13 12:50 0
黄枫叶雪币： 212 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 1 关注私信	黄枫叶 22 楼单总牛逼，有空看下QQ。。 2020-11-14 20:33 0
qinshaoding 雪币： 0 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	qinshaoding 23 楼 p小鸡就想知道毒奶粉现在到底有没有crc.. 当然有啊 ACE-ATS32这个就是负责对base32和game32的CRC校验上传的 2021-1-19 10:32 0
wx_瑾轩i  雪币： 19 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_瑾轩i  24 楼牛逼 2021-2-6 21:54 0
倪大大雪币： 914 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	倪大大 25 楼请教个问题，如何全局关闭ifhook或者禁用事件跟踪 2021-2-18 01:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复