首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[原创]WIN10 1909 让CE可以读取D*F内存的一种方法
2021-4-17 03:34 6582

[原创]WIN10 1909 让CE可以读取D*F内存的一种方法

麻木的时间 活跃值
2021-4-17 03:34
6582

此方法是昨天偶然想到的,CE读取进程内存使用的是OpenProcess+ReadProcessMemory。

 

写了一个test程序来测试读取D*F内存,发现OpenProcess成功,ReadProcessMemory会失败。

 

基于以上测试得到的结果:思路如下,使用infinityhook来Hook掉NtReadVirtualMemory函数。自己的处理函数中判断如果是CE进程就使用自己实现的内存读取函数,这个方法的好处是不用过PG。

 

测试图如下:


[培训]《安卓高级研修班(网课)》月薪三万计划,掌 握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

收藏
免费 2
打赏
分享
最新回复 (8)
hzqst
雪    币: 12839
活跃值: (9043)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
hzqst 3 2021-4-17 06:59
2
0
ce不是本来就有自带驱动读写的开关?
ookkaa
雪    币: 19
活跃值: (4217)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
私信
ookkaa 2021-4-17 10:57
3
0
ce要是能像x64dbg那样有插件就好了
我的小拇指啊
雪    币: 9078
活跃值: (5585)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
我的小拇指啊 2021-4-17 11:15
4
0
何必呢何苦呢为啥不直接r3hook呢
https://github.com/btbd/access
はつゆき
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
私信
はつゆき 2021-4-17 11:44
5
0
ookkaa ce要是能像x64dbg那样有插件就好了
有的
hzqst
雪    币: 12839
活跃值: (9043)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
hzqst 3 2021-4-17 16:26
6
0
ookkaa ce要是能像x64dbg那样有插件就好了
ce本来就有插件
ookkaa
雪    币: 19
活跃值: (4217)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
私信
ookkaa 2021-4-17 17:21
7
0
hzqst ce本来就有插件
看到了 https://github.com/cheat-engine/cheat-engine/tree/master/Cheat%20Engine/plugin
ookkaa
雪    币: 19
活跃值: (4217)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
私信
ookkaa 2021-4-17 17:21
8
0

卡了

最后于 2021-4-17 17:23 被ookkaa编辑 ,原因:
ookkaa
雪    币: 19
活跃值: (4217)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
私信
ookkaa 2021-4-17 17:22
9
0

卡了

最后于 2021-4-17 17:23 被ookkaa编辑 ,原因:
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回