能力值:
( LV3,RANK:35 )
|
-
-
2 楼
RtlCopyMemory 怎么可能有检测你tm在逗我 要检测也是扫你内存了啊,在你读的内存里留了什么记号什么的
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
Chords
RtlCopyMemory 怎么可能有检测你tm在逗我
要检测也是扫你内存了啊,在你读的内存里留了什么记号什么的
真的,我手动切换cr3 mdl映射,无论什么方法都不行,只要碰了内存数据就GG 但是我反复测试通讯+挂靠,1秒百万次,不论多久都不封.就差直接读物理没试了,但是物理的要处理的东西太多,就算成了也不合适
|
能力值:
( LV10,RANK:163 )
|
-
-
4 楼
01 0e中断
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
|
能力值:
( LV8,RANK:130 )
|
-
-
6 楼
cr3屎假的 你访问内存 会触发页面异常 进入idt tp hook了这几个中断 在里面 根据情况 判断如果是白名单进程 就给他一个真实页表 设置好tf单步 让用户层读写完毕 会再次进入1号中断 再次把假的cr3写回去 否则就直接提示检测到外挂了
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
killpy
cr3屎假的 你访问内存 会触发页面异常 进入idt tp hook了这几个中断 在里面 根据情况 判断如果是白名单进程 就给他一个真实页表 设置好tf单步 让用户层读写完毕 会再次进入1号中断 ...
大哥你的说法我感觉就是真相了,挂ojb钩子能获取真实cr3吗
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
win7会有假CR3 win10没有 但是你读还是会GG
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
感觉真相就在 0e里面 某个挂钩不被PG的点 或者 PsWatchEnabled 通过观察 后者没被使用
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
niceli
感觉真相就在 0e里面 某个挂钩不被PG的点 或者 PsWatchEnabled 通过观察 后者没被使用
我又发现,只要读取速度达到某个点,就会凉,正常每秒百万,弄成每秒几千就没事.真让人摸不着头脑
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
我觉得应该是物理页属性被改了,所以能读到正确的数据,但是却被检测.也可能是hook了syscall吧,不然为啥每秒超过1W次才凉
|
能力值:
( LV1,RANK:0 )
|
-
-
12 楼
什么游戏
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
FOREVERSORA
什么游戏
模拟器,其他版本的某P倒没这个检测.MDL锁定页面后没有页面错误,但也会被检测到,实在是搞不明白
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
通讯方式的问题 我觉得
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
~时光荏苒
通讯方式的问题 我觉得
这个不可能的,我是hook内核函数通讯,没句柄,而且也测试了通讯只附加进程不碰内存
|
能力值:
(RANK:10 )
|
-
-
16 楼
QQ627829408给你解决
|
能力值:
( LV1,RANK:0 )
|
-
-
17 楼
请求交流
|
能力值:
( LV1,RANK:0 )
|
-
-
18 楼
某p上了vt?
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
这明显是缺页中断导致的
最后于 2021-9-1 01:37
被不吃早饭编辑
,原因:
|
能力值:
( LV1,RANK:0 )
|
-
-
20 楼
请求交流
|
|
|