[求助]r3下如何防止WriteProcessMemory对软件写入-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 [求助]r3下如何防止WriteProcessMemory对软件写入

2021-3-22 10:09 5202

未解决 [求助]r3下如何防止WriteProcessMemory对软件写入

MokeyF

2021-3-22 10:09

5202

防止其他软件对自己软件远程注入,读写内存,求一个思路,r3下有什么好的思路没有,求指点

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

打赏

最新回复 (21)
htpidk 雪币： 6853 活跃值： (3476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 276 粉丝 1 关注私信	htpidk 2021-3-22 10:30 2 楼 0 setwindowshookex下个全局钩子HOOK
MokeyF 雪币： 11 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 1 关注私信	MokeyF 2021-3-22 10:42 3 楼 0 htpidk setwindowshookex下个全局钩子HOOK 能具体描述下过程吗,感谢
Kaining 雪币： 477 活跃值： (2371) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 29 粉丝 9 关注私信	Kaining 2021-3-22 10:45 4 楼 0 可以使用CRC检测来防止修改
MokeyF 雪币： 11 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 1 关注私信	MokeyF 2021-3-22 11:08 5 楼 0 轩词可以使用CRC检测来防止修改 CRC可以检测是否被修改,但是无法判断是不是自己在修改
htpidk 雪币： 6853 活跃值： (3476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 276 粉丝 1 关注私信	htpidk 2021-3-22 11:29 6 楼 0 setwindowshookex下全局消息钩子啊，鼠标钩子啊，键盘钩子啊都可以，dllmain里HOOK WriteProcessMemory
mudebug 雪币： 8344 活跃值： (5565) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 303 粉丝 36 关注私信	mudebug 2021-3-22 14:11 7 楼 0 r3层没有可对抗WriteProcessMemory的能力。不管你怎么做。机会不可能实现有效性的防御。
白菜大哥雪币： 12500 活跃值： (3043) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 13 关注私信	白菜大哥 2021-3-22 14:49 8 楼 0 走服务器不香吗？关键数据服务器运算，或者多机运算。
qiusuper 雪币： 57 活跃值： (2141) 能力值： ( LV6，RANK：90 ) 在线值：发帖 0 回帖 102 粉丝 7 关注私信	qiusuper 2021-3-22 15:23 9 楼 0 自己骗自己
学技术打豆豆雪币： 171 活跃值： (8454) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 347 关注私信	学技术打豆豆 1 2021-3-22 16:28 10 楼 0 可以尝试WriteWatch跟踪技术
自由狼雪币： 1711 活跃值： (1667) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 1 关注私信	自由狼 2021-3-22 16:40 11 楼 0 这是用api写的反注入（用易写的，但是原理一样），你可以写一个弹出信息框的dll，看看能不能注入不报错，对于反内存读写，不太好办，总是有办法的上传的附件：待注入.rar （3.38MB，19次下载）
低调putchar 雪币： 2674 活跃值： (2304) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 141 粉丝 37 关注私信	低调putchar 1 2021-3-22 16:48 12 楼 0 我以前是在R0下做的，HOOK的ntoskrnl.exe/ntkrnlpa.exe中的：nt!NtWriteVirtualMemory,防止非法进程通过WriteProcessMemory来写受保护的进程。如果R3的话，可以考虑: 全局HOOK ntdll.dll中的: ntdll!NtWriteVirtualMemory实现类似的功能。
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2021-3-22 22:31 13 楼 0 不管是r3还是r0都阻止不了对软件的写入，放弃抵抗吧，换思路
MokeyF 雪币： 11 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 1 关注私信	MokeyF 2021-3-23 00:10 14 楼 0 yy虫子yy 不管是r3还是r0都阻止不了对软件的写入，放弃抵抗吧，换思路不抵抗写入,我这边只要知道是不是系统或者杀毒写入,如果不是就自动退出
MokeyF 雪币： 11 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 1 关注私信	MokeyF 2021-3-23 00:12 15 楼 0 低调putchar 我以前是在R0下做的，HOOK的ntoskrnl.exe/ntkrnlpa.exe中的：nt!NtWriteVirtualMemory,防止非法进程通过WriteProcessMemory来写受保护的 ... r0我也试过了,在此之前对ssdt hook一片空白,也就这几天才接触到这块,我看网上代码,编译过了主要就是兼容性问题,x64好像很难做hook
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2021-3-23 00:40 16 楼 0 MokeyF 不抵抗写入,我这边只要知道是不是系统或者杀毒写入,如果不是就自动退出要知道，第三方软件是可以伪装成系统或者杀毒的而且系统进程非常多，杀毒品牌也很多，更何况伪装者是没有标准的一个没有标准的行为是无法被监测的，而你自己再制定标准去对抗无标准行为，这根本不可能了从客户端的角度来说的确如此，最多也就是加强难度而始终跳不出攻防对抗的圈子除非你的关注点不在客户端，比如服务器端，或者从深层次考虑，别人为什么要写你的内存？写内存要干什么？这种“写内存”的需求你自己能不能提供？怎么去平衡这种供需关系？
GhostValley 雪币： 437 活跃值： (524) 能力值： ( LV3，RANK：27 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	GhostValley 2021-3-23 11:53 17 楼 0 随便天马行空的无逻辑的想法（单纯的也是无知的(先凡尔赛一下)）：如果自己的软件里能够识别自己分配的堆(堆之上构建一个新的自己的堆结构)、然后由一个线程去定期校验合法性，不知可否（问题：怎么在一个线程里管理自己分配的或将要分配的堆）
MokeyF 雪币： 11 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 1 关注私信	MokeyF 2021-3-23 12:36 18 楼 0 https://www.novirusthanks.org/products/writeprocessmemory-monitor/ For Windows XP, Vista, 7, 8, 10 (32\64-bit) 没搞明白他这个实现原理,是ssdthook?
MokeyF 雪币： 11 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 1 关注私信	MokeyF 2021-3-23 12:39 19 楼 0 r0实现这个需要hook,hook的话,兼容性又是大问题
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 13 关注私信	网络游侠 2021-3-23 12:40 20 楼 0 free fun!
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-3-27 16:25 21 楼 0 R3：如果对方WriteProcessMemory，只是干inline hook之类的操作。这好办，启动前将关键API前几个字节保存下来，每次调用前，都用WriteProcessMemory写回去，让其hook失效。
huojier 雪币： 137 活跃值： (1240) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 85 粉丝 6 关注私信	huojier 2021-3-27 16:59 22 楼 0 在不想被写入的区域用page_guard保护着就行了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

MokeyF

发帖

回帖

RANK

关注

私信

他的文章

[求助]r3下如何防止WriteProcessMemory对软件写入

[求助]这个病毒是做什么的?服务器刚拿出来的,还热的

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
htpidk 雪币： 6853 活跃值： (3476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 276 粉丝 1 关注私信	htpidk 2021-3-22 10:30 2 楼 0 setwindowshookex下个全局钩子HOOK
MokeyF 雪币： 11 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 1 关注私信	MokeyF 2021-3-22 10:42 3 楼 0 htpidk setwindowshookex下个全局钩子HOOK 能具体描述下过程吗,感谢
Kaining 雪币： 477 活跃值： (2371) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 29 粉丝 9 关注私信	Kaining 2021-3-22 10:45 4 楼 0 可以使用CRC检测来防止修改
MokeyF 雪币： 11 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 1 关注私信	MokeyF 2021-3-22 11:08 5 楼 0 轩词可以使用CRC检测来防止修改 CRC可以检测是否被修改,但是无法判断是不是自己在修改
htpidk 雪币： 6853 活跃值： (3476) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 276 粉丝 1 关注私信	htpidk 2021-3-22 11:29 6 楼 0 setwindowshookex下全局消息钩子啊，鼠标钩子啊，键盘钩子啊都可以，dllmain里HOOK WriteProcessMemory
mudebug 雪币： 8344 活跃值： (5565) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 303 粉丝 36 关注私信	mudebug 2021-3-22 14:11 7 楼 0 r3层没有可对抗WriteProcessMemory的能力。不管你怎么做。机会不可能实现有效性的防御。
白菜大哥雪币： 12500 活跃值： (3043) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 13 关注私信	白菜大哥 2021-3-22 14:49 8 楼 0 走服务器不香吗？关键数据服务器运算，或者多机运算。
qiusuper 雪币： 57 活跃值： (2141) 能力值： ( LV6，RANK：90 ) 在线值：发帖 0 回帖 102 粉丝 7 关注私信	qiusuper 2021-3-22 15:23 9 楼 0 自己骗自己
学技术打豆豆雪币： 171 活跃值： (8454) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 347 关注私信	学技术打豆豆 1 2021-3-22 16:28 10 楼 0 可以尝试WriteWatch跟踪技术
自由狼雪币： 1711 活跃值： (1667) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 31 粉丝 1 关注私信	自由狼 2021-3-22 16:40 11 楼 0 这是用api写的反注入（用易写的，但是原理一样），你可以写一个弹出信息框的dll，看看能不能注入不报错，对于反内存读写，不太好办，总是有办法的上传的附件：待注入.rar （3.38MB，19次下载）
低调putchar 雪币： 2674 活跃值： (2304) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 141 粉丝 37 关注私信	低调putchar 1 2021-3-22 16:48 12 楼 0 我以前是在R0下做的，HOOK的ntoskrnl.exe/ntkrnlpa.exe中的：nt!NtWriteVirtualMemory,防止非法进程通过WriteProcessMemory来写受保护的进程。如果R3的话，可以考虑: 全局HOOK ntdll.dll中的: ntdll!NtWriteVirtualMemory实现类似的功能。
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2021-3-22 22:31 13 楼 0 不管是r3还是r0都阻止不了对软件的写入，放弃抵抗吧，换思路
MokeyF 雪币： 11 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 1 关注私信	MokeyF 2021-3-23 00:10 14 楼 0 yy虫子yy 不管是r3还是r0都阻止不了对软件的写入，放弃抵抗吧，换思路不抵抗写入,我这边只要知道是不是系统或者杀毒写入,如果不是就自动退出
MokeyF 雪币： 11 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 1 关注私信	MokeyF 2021-3-23 00:12 15 楼 0 低调putchar 我以前是在R0下做的，HOOK的ntoskrnl.exe/ntkrnlpa.exe中的：nt!NtWriteVirtualMemory,防止非法进程通过WriteProcessMemory来写受保护的 ... r0我也试过了,在此之前对ssdt hook一片空白,也就这几天才接触到这块,我看网上代码,编译过了主要就是兼容性问题,x64好像很难做hook
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2021-3-23 00:40 16 楼 0 MokeyF 不抵抗写入,我这边只要知道是不是系统或者杀毒写入,如果不是就自动退出要知道，第三方软件是可以伪装成系统或者杀毒的而且系统进程非常多，杀毒品牌也很多，更何况伪装者是没有标准的一个没有标准的行为是无法被监测的，而你自己再制定标准去对抗无标准行为，这根本不可能了从客户端的角度来说的确如此，最多也就是加强难度而始终跳不出攻防对抗的圈子除非你的关注点不在客户端，比如服务器端，或者从深层次考虑，别人为什么要写你的内存？写内存要干什么？这种“写内存”的需求你自己能不能提供？怎么去平衡这种供需关系？
GhostValley 雪币： 437 活跃值： (524) 能力值： ( LV3，RANK：27 ) 在线值：发帖 3 回帖 24 粉丝 0 关注私信	GhostValley 2021-3-23 11:53 17 楼 0 随便天马行空的无逻辑的想法（单纯的也是无知的(先凡尔赛一下)）：如果自己的软件里能够识别自己分配的堆(堆之上构建一个新的自己的堆结构)、然后由一个线程去定期校验合法性，不知可否（问题：怎么在一个线程里管理自己分配的或将要分配的堆）
MokeyF 雪币： 11 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 1 关注私信	MokeyF 2021-3-23 12:36 18 楼 0 https://www.novirusthanks.org/products/writeprocessmemory-monitor/ For Windows XP, Vista, 7, 8, 10 (32\64-bit) 没搞明白他这个实现原理,是ssdthook?
MokeyF 雪币： 11 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 1 关注私信	MokeyF 2021-3-23 12:39 19 楼 0 r0实现这个需要hook,hook的话,兼容性又是大问题
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 13 关注私信	网络游侠 2021-3-23 12:40 20 楼 0 free fun!
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2021-3-27 16:25 21 楼 0 R3：如果对方WriteProcessMemory，只是干inline hook之类的操作。这好办，启动前将关键API前几个字节保存下来，每次调用前，都用WriteProcessMemory写回去，让其hook失效。
huojier 雪币： 137 活跃值： (1240) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 85 粉丝 6 关注私信	huojier 2021-3-27 16:59 22 楼 0 在不想被写入的区域用page_guard保护着就行了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复