首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
一种利用VEH 实现得 内存隐藏(曾经几时得我,用CE 在Pubg分配内存的时候,总是???? 偶然有值。现在我总算知道为什么,应该是吧!!)
发表于: 2022-3-23 18:58 20813

一种利用VEH 实现得 内存隐藏(曾经几时得我,用CE 在Pubg分配内存的时候,总是???? 偶然有值。现在我总算知道为什么,应该是吧!!)

一夜酒狂 活跃值
2022-3-23 18:58
20813

思路来源 这个作者 太特么感激他了。我又学到了,不,又抄到了 好东西  https://github.com/1401199262/MemoryVirtualization


我的项目 都来源于他  我只改了一处地方  

my_loadLibrary 实现了 什么 你们自己看吧,懒得说。

1.项目主核心 是  VEH异常处理函数。

主题逻辑如下 1. 当一个线程 刚好执行到了 我们要隐藏的内存代码时,强制使其触发EXCEPTION_ACCESS_VIOLATION 异常,进入我们VEH处理函数。

2.当在VEH处理函数 处理好内存的C0000005异常后,迫使当前线程 再一次 触发异常,其主要目的是为了:重新隐藏内存。

擦!毕竟不是自己写的,只是二次加工。概况起来就是 利用 VEH 实现 内存的执行与读写分离。

还有一个我自己比较扎心的问题时,貌似解决pubg这个分配内存问题,只能hook ZwProtectVirtualMemory函数。

最终效果如下



dll Demo函数


https://github.com/ilovecsad/veh_hide_memory



[课程]Linux pwn 探索篇!

收藏
免费 4
支持
分享
最新回复 (10)
kakasasa
雪    币: 576
活跃值: (2035)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
感谢分享 mark
2022-3-23 20:29
0
badboyl
雪    币: 4086
活跃值: (5766)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
私信
3
老作者了
2022-3-23 21:33
0
小希希
雪    币: 1622
活跃值: (3805)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
mark
2022-3-23 23:20
0
yaoyuanzhi
雪    币: 7
活跃值: (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
一下一单步,这个速度能扛住吗
2022-5-13 09:42
0
shuwoa
雪    币: 35
活跃值: (1796)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
真的扛不住
2022-6-13 15:13
0
yuechu
雪    币: 630
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
7
如果HOOK点与你异常处理函数在同一片内存会死掉。解决它!加油
2022-6-13 16:36
0
逆向爱好者
雪    币: 1379
活跃值: (4343)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
8
“当一个线程刚好执行到我们要隐藏的内存代码时”,内存属性是页管理不是字节管理。
2023-5-6 15:24
0
jwyyqd
雪    币: 0
活跃值: (60)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
虽然我 看不懂 但是还是要支持下
2023-8-14 00:18
0
秋狝
雪    币: 1952
活跃值: (30566)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
感谢分享
2023-8-14 09:05
1
mb_eucadiec
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
11
如果HOOK点与你异常处理函数在同一片内存会死掉。解决它!加油
2024-4-13 12:09
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//