首页
社区
课程
招聘
未解决 [讨论]某P的读写检测
发表于: 2020-12-15 15:00 10473

未解决 [讨论]某P的读写检测

2020-12-15 15:00
10473

经测试,通讯+KeStackAttachProcess没有任何问题..只要RtlCopyMemory就凉.....

直接用指针读取也会检测,挂靠没检测,读内存没用api,这是什么检测手段....


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (19)
雪    币: 1522
活跃值: (2177)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
2
RtlCopyMemory 怎么可能有检测你tm在逗我 
要检测也是扫你内存了啊,在你读的内存里留了什么记号什么的
2020-12-15 16:09
0
雪    币: 14
活跃值: (948)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
Chords RtlCopyMemory 怎么可能有检测你tm在逗我 要检测也是扫你内存了啊,在你读的内存里留了什么记号什么的
真的,我手动切换cr3 mdl映射,无论什么方法都不行,只要碰了内存数据就GG
但是我反复测试通讯+挂靠,1秒百万次,不论多久都不封.就差直接读物理没试了,但是物理的要处理的东西太多,就算成了也不合适
2020-12-15 22:20
0
雪    币: 6661
活跃值: (4511)
能力值: ( LV10,RANK:163 )
在线值:
发帖
回帖
粉丝
4
01 0e中断
2020-12-16 08:36
0
雪    币: 14
活跃值: (948)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
yimingqpa 01 0e中断
看过某些帖子说这个中断,哪里有相关文章讲解这个东西啊
2020-12-17 04:20
0
雪    币: 83
活跃值: (1092)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
6
cr3屎假的  你访问内存 会触发页面异常 进入idt  tp hook了这几个中断 在里面 根据情况 判断如果是白名单进程 就给他一个真实页表 设置好tf单步 让用户层读写完毕 会再次进入1号中断 再次把假的cr3写回去 否则就直接提示检测到外挂了 
2020-12-17 08:48
1
雪    币: 14
活跃值: (948)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
killpy cr3屎假的 你访问内存 会触发页面异常 进入idt tp hook了这几个中断 在里面 根据情况 判断如果是白名单进程 就给他一个真实页表 设置好tf单步 让用户层读写完毕 会再次进入1号中断 ...
大哥你的说法我感觉就是真相了,挂ojb钩子能获取真实cr3吗
2020-12-17 10:00
0
雪    币: 273
活跃值: (517)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
win7会有假CR3 win10没有 但是你读还是会GG
2020-12-19 01:02
0
雪    币: 273
活跃值: (517)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
感觉真相就在 0e里面 某个挂钩不被PG的点 或者 PsWatchEnabled 通过观察 后者没被使用
2020-12-19 01:07
0
雪    币: 14
活跃值: (948)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
niceli 感觉真相就在 0e里面 某个挂钩不被PG的点 或者 PsWatchEnabled 通过观察 后者没被使用
我又发现,只要读取速度达到某个点,就会凉,正常每秒百万,弄成每秒几千就没事.真让人摸不着头脑
2020-12-19 06:56
0
雪    币: 14
活跃值: (948)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
我觉得应该是物理页属性被改了,所以能读到正确的数据,但是却被检测.也可能是hook了syscall吧,不然为啥每秒超过1W次才凉
2020-12-20 08:12
0
雪    币: 224
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
12
什么游戏
2021-1-6 18:35
0
雪    币: 14
活跃值: (948)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
FOREVERSORA 什么游戏
模拟器,其他版本的某P倒没这个检测.MDL锁定页面后没有页面错误,但也会被检测到,实在是搞不明白
2021-1-9 19:19
0
雪    币: 5321
活跃值: (4803)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
通讯方式的问题 我觉得
2021-1-9 22:06
0
雪    币: 14
活跃值: (948)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
~时光荏苒 通讯方式的问题 我觉得
这个不可能的,我是hook内核函数通讯,没句柄,而且也测试了通讯只附加进程不碰内存
2021-1-19 02:03
0
雪    币: 198
活跃值: (81)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
16
QQ627829408给你解决
2021-1-19 10:02
0
雪    币: 8
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
17
请求交流
2021-8-31 23:31
0
雪    币: 8
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
18
某p上了vt?
2021-8-31 23:32
0
雪    币: 29
活跃值: (5887)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19

这明显是缺页中断导致的

最后于 2021-9-1 01:37 被不吃早饭编辑 ,原因:
2021-9-1 01:36
0
雪    币: 8
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
20
请求交流
2021-9-30 15:16
0
游客
登录 | 注册 方可回帖
返回
//