首页
社区
课程
招聘
[原创]带菜鸟入个门---58行代码破掉主流游戏保护实现CE读写
发表于: 2020-12-16 11:31 19559

[原创]带菜鸟入个门---58行代码破掉主流游戏保护实现CE读写

2020-12-16 11:31
19559


目前测试环境:win10 1909和win764位都能应用,win7 64位在退出游戏时,会引发蓝屏,需要修复部分数据,但对小白来说,过于麻烦,可以不用CE,直接使用三环的ReadProcessMemory和WriteProcessMemory即可。


上图



    2.过程(我挂了几天不蓝,如各位有蓝屏,请查找蓝屏代码自行修复)

如果你要修改的目标进程是32位的,你就打开32位的NOTEPAD.exe,如果是64位的,你就打开64位的NOTEPAD.exe做为傀儡进程,以实现环境适应。

在内核层,暂停傀儡进程的所有线程,让傀儡进程变成一个纯粹的内存空间,不要在三环创建挂起进程,会蓝。

将目标进程的CR3,VAD挂入傀儡进程的CR3和VAD,进行替换,切记不要替换PEB和wowPEB,会蓝。

win7 64位,退出目标进程后,会蓝,需要修改很多细节,可以直接不用CE,直接三环读写API即可。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2020-12-16 14:02 被学技术打豆豆编辑 ,原因:
收藏
免费 10
支持
分享
最新回复 (30)
雪    币: 198
活跃值: (8548)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
2

..。

最后于 2020-12-16 14:07 被学技术打豆豆编辑 ,原因:
2020-12-16 11:43
0
雪    币: 0
活跃值: (217)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
这个原来有人讲过,不过我好奇你的虚拟机,我想要这个
2020-12-16 11:57
0
雪    币: 198
活跃值: (8548)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
4
Galesaur 这个原来有人讲过,不过我好奇你的虚拟机,我想要这个
虚拟机三行代码解决
2020-12-16 12:02
0
雪    币: 62
活跃值: (662)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
我豆哥得技术  我这辈子都赶不上了,别怀疑啊 就那个一杆进三洞都够我学一辈子了
2020-12-16 12:08
0
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
6
其实要anti也简单,遍历所有进程判断PML4前100项是否跟游戏进程相同即可,但是这样搞就变成攻防套娃了,纯属浪费时间
2020-12-16 13:41
1
雪    币: 305
活跃值: (403)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
豆哥牛逼
2020-12-16 14:32
0
雪    币: 0
活跃值: (217)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
学技术打豆豆 虚拟机三行代码解决
可以双机调试不,我最近想玩玩,被按在这里了
2020-12-16 15:00
0
雪    币: 198
活跃值: (8548)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
9
hzqst 其实要anti也简单,遍历所有进程判断PML4前100项是否跟游戏进程相同即可,但是这样搞就变成攻防套娃了,纯属浪费时间
攻防双方本来就是技术对抗的过程,我告诉你了原理,你当然简单,你把TP的原理告诉我,我也简单!
2020-12-16 15:16
0
雪    币: 1041
活跃值: (733)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
这个是一个驱动读写吗
2020-12-16 18:32
0
雪    币: 83
活跃值: (1087)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
11
你这个可以读写 已经换页的内存吗
2020-12-17 09:05
0
雪    币: 198
活跃值: (8548)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
12
killpy 你这个可以读写 已经换页的内存吗
当然可以
2020-12-17 10:11
0
雪    币: 1556
活跃值: (2297)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
如果你要修改的目标进程是32位的,你就打开32位的NOTEPAD.exe,如果是64位的,你就打开64位的NOTEPAD.exe做为傀儡进程,以实现环境适应。

在内核层,暂停傀儡进程的所有线程,让傀儡进程变成一个纯粹的内存空间,不要在三环创建挂起进程,会蓝。

这个感觉和某老外的poc很像啊@hzqst

老外那个很早就有了,暂停runtimebroker的
2020-12-19 12:43
0
雪    币: 1556
活跃值: (2297)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
hzqst 其实要anti也简单,遍历所有进程判断PML4前100项是否跟游戏进程相同即可,但是这样搞就变成攻防套娃了,纯属浪费时间
PCclone和kmem那玩意?
2020-12-19 12:49
0
雪    币: 362
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
15
自己写个虚拟机 解决一切疑难杂症
2020-12-19 13:02
1
雪    币: 198
活跃值: (8548)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
16
gdgdgdg 自己写个虚拟机 解决一切疑难杂症
2020-12-22 12:26
0
雪    币: 36
活跃值: (102)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
学习了,谢谢
2020-12-25 20:45
0
雪    币: 137
活跃值: (1350)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
我有一种设想...要干坏事的,直接把PID改了做完坏事再改回去,所以有人去试试吗?
2020-12-27 19:04
0
雪    币: 29
活跃值: (68)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
为什么我看到不到系统调用的内核函数 我是很白很白的小白
2020-12-29 17:42
0
雪    币: 331
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
20
Win10 64 1809 能替换成功 创建进程或过几秒钟到十几秒不等蓝屏 报内存重叠 难道是我操作不对?
VOID 进程内存替换(const char* age_processname)
{
    //int3zzzz();
    pGLobalStruct = (GLOBAL_STRUCT*)ExAllocatePool(NonPagedPool, sizeof(0));
    if (!pGLobalStruct) return;
    pGLobalStruct->pOwnProcess = (PEPROCESS)取指定进程("test.exe");
    pGLobalStruct->pGameProcess = (PEPROCESS)取指定进程(age_processname);
    if (pGLobalStruct->pOwnProcess == NULL64 || pGLobalStruct->pGameProcess == NULL64)
        return;
    PsSuspendProcess(pGLobalStruct->pOwnProcess);
    RtlChangeEprocess();
}


2020-12-29 20:48
0
雪    币: 198
活跃值: (8548)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
21
思源欲涩 Win10 64 1809 能替换成功 创建进程或过几秒钟到十几秒不等蓝屏 报内存重叠 难道 ...
 pGLobalStruct = (GLOBAL_STRUCT*)ExAllocatePool(NonPagedPool, sizeof(0));

2020-12-29 21:21
0
雪    币: 2359
活跃值: (343)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
虚拟机怎么过检测
2020-12-29 23:44
0
雪    币: 2428
活跃值: (2566)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
牛逼,以前只想过怎么构造页表,原来找个傀儡进程替换成目标进程的cr3就好了。替换vadroot,是为了解决r3内存的页异常?不过问题来了,要是r3发生缺页,应该还是当前线程挂入傀儡进程执行pf,其实也就是游戏进程的pf。但要是游戏进程的pf做了什么手脚,会不会出什么问题?
2021-2-3 04:31
0
雪    币: 2428
活跃值: (2566)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
还有一个就是为什么是拷贝pml4前100项?系统空间最低是 0x00000800`00000000也就是2^43,所以大概2^43/2^39=16,感觉只需要拷贝pml4的前16项就可以了?
2021-2-3 05:17
0
雪    币: 914
活跃值: (91)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
1809没几分钟就109蓝屏
2021-2-19 20:37
0
游客
登录 | 注册 方可回帖
返回
//