首页
社区
课程
招聘
新TP的内存保护技术 (仅修改一个字节)
发表于: 2020-11-4 15:22 30138

新TP的内存保护技术 (仅修改一个字节)

2020-11-4 15:22
30138

TP最近全体升级成了ACE系列的驱动保护,强度弱了亿点。


发现了它有个很有意思的功能,启动程序大约几分钟后,就不能再修改其代码段的内存属性,也就不能修改其只读代码段了。效果跟BE使用的remap非常相似。

那么它到底是remap还是if hook还是什么别的其他技术来实现的呢。

首先它的内存属性前后都是image类型的没变过,不太像remap。关闭系统的ifhook后,仍然不能修改。说明ACE是通过其他方式来实现的。


先调用ZwProtectVirtualMemory来修改目标代码段的属性看下错误,


C000009D是个很少见的错误,一般来说跟内存相关的API不会返回这样的错误值。

看一下ntos中都有什么地方会返回这个错误

可以看到,还是非常少的,寥寥无几,我们一个一个尝试,把这里的错误值改成其他的错误,最终我们得到了ZwProtectVirtualMemory的错误是由VslpEnterIumSecureMode引起的。

可是修改内存属性为什么会进入这个函数里面呢。查看一下调用栈


原来在MmProtectVirtualMemory中,如果被修改的内存vad flag中如果第16位是1,则会进入这个分支。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 25
支持
分享
最新回复 (30)
雪    币: 801
活跃值: (2184)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
单总牛批
2020-11-4 15:39
0
雪    币: 6209
活跃值: (5032)
能力值: ( LV10,RANK:160 )
在线值:
发帖
回帖
粉丝
3
单总 牛逼plus 。。。
2020-11-4 18:00
0
雪    币: 12500
活跃值: (6004)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
4
能想出这种骚操作的都是人才
2020-11-4 22:06
0
雪    币: 14633
活跃值: (17729)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
5
mark,请问这是鹅厂的TP吗?
2020-11-4 23:13
0
雪    币: 244
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
6
单总 牛逼plus 。。。
2020-11-5 00:21
0
雪    币: 137
活跃值: (1410)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
这技术是win10独享的吧 ,让win7用户情何以堪
2020-11-5 09:34
0
雪    币: 61
活跃值: (991)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
求指教弱了哪亿点?
2020-11-5 10:32
0
雪    币: 711
活跃值: (253)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
单总牛批
2020-11-5 10:55
0
雪    币: 665
活跃值: (1051)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
单鸽牛批!
2020-11-5 14:27
0
雪    币: 3836
活跃值: (4142)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
版主 怎么不加精
2020-11-5 14:41
0
雪    币: 90
活跃值: (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
感谢大佬又可以秒破谋p了真香
2020-11-5 16:11
0
雪    币: 2
活跃值: (119)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
骚操作
2020-11-9 10:16
0
雪    币: 615
活跃值: (620)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
14
向大佬学习,
2020-11-9 19:03
0
雪    币: 4309
活跃值: (4367)
能力值: ( LV3,RANK:37 )
在线值:
发帖
回帖
粉丝
15
单总牛逼,为什么没有精?
2020-11-10 09:17
0
雪    币: 66
活跃值: (2791)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
骚啊
2020-11-10 09:49
0
雪    币: 6209
活跃值: (5645)
能力值: ( LV5,RANK:65 )
在线值:
发帖
回帖
粉丝
17
感谢分享!
2020-11-10 10:54
0
雪    币: 83
活跃值: (1092)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
18
话说 你修改了 那些 返回status  不触发PG吗 为啥不直接单步调试呢
2020-11-11 17:00
0
雪    币: 27
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
就想知道毒奶粉现在到底有没有crc..
2020-11-11 17:08
0
雪    币: 2089
活跃值: (3933)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
是哪个人才研究出来的东西
2020-11-13 12:24
0
雪    币: 1922
活跃值: (4165)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
mark学习了
2020-11-13 12:50
0
雪    币: 212
活跃值: (102)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
单总牛逼,有空看下QQ。。
2020-11-14 20:33
0
雪    币: 0
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
p小鸡 就想知道毒奶粉现在到底有没有crc..
当然有啊 ACE-ATS32这个就是负责对base32和game32的CRC校验上传的
2021-1-19 10:32
0
雪    币: 19
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
24
牛逼
2021-2-6 21:54
0
雪    币: 914
活跃值: (91)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
请教个问题,如何全局关闭ifhook或者禁用事件跟踪
2021-2-18 01:30
0
游客
登录 | 注册 方可回帖
返回
//