首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]WIN10 1909 让CE可以读取D*F内存的一种方法
发表于: 2021-4-17 03:34 7372

[原创]WIN10 1909 让CE可以读取D*F内存的一种方法

麻木的时间 活跃值
2021-4-17 03:34
7372

此方法是昨天偶然想到的,CE读取进程内存使用的是OpenProcess+ReadProcessMemory。

写了一个test程序来测试读取D*F内存,发现OpenProcess成功,ReadProcessMemory会失败。

基于以上测试得到的结果:思路如下,使用infinityhook来Hook掉NtReadVirtualMemory函数。自己的处理函数中判断如果是CE进程就使用自己实现的内存读取函数,这个方法的好处是不用过PG。

测试图如下:


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 2
支持
分享
最新回复 (8)
hzqst
雪    币: 12857
活跃值: (9202)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
2
ce不是本来就有自带驱动读写的开关?
2021-4-17 06:59
0
ookkaa
雪    币: 246
活跃值: (4567)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
私信
3
ce要是能像x64dbg那样有插件就好了
2021-4-17 10:57
0
我的小拇指啊
雪    币: 10130
活跃值: (7182)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
何必呢何苦呢为啥不直接r3hook呢
https://github.com/btbd/access
2021-4-17 11:15
0
はつゆき
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
私信
5
ookkaa ce要是能像x64dbg那样有插件就好了
有的
2021-4-17 11:44
0
hzqst
雪    币: 12857
活跃值: (9202)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
6
ookkaa ce要是能像x64dbg那样有插件就好了
ce本来就有插件
2021-4-17 16:26
0
ookkaa
雪    币: 246
活跃值: (4567)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
私信
7
hzqst ce本来就有插件
看到了 https://github.com/cheat-engine/cheat-engine/tree/master/Cheat%20Engine/plugin
2021-4-17 17:21
0
ookkaa
雪    币: 246
活跃值: (4567)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
私信
8

卡了

最后于 2021-4-17 17:23 被ookkaa编辑 ,原因:
2021-4-17 17:21
0
ookkaa
雪    币: 246
活跃值: (4567)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
私信
9

卡了

最后于 2021-4-17 17:23 被ookkaa编辑 ,原因:
2021-4-17 17:22
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
// // 统计代码