-
-
[原创]奇思妙想!找出进程模块的CRC检测线程
-
2022-5-12 07:45
-
先说两种找CRC检测的两种常见方式:
第一种:利用VT的读,执行分离
第二种:调试目标进程,然后利用硬件断点
我所用的方法是第二种方式的变种,第二种方法不好的地方是需要调试目标进程,这样是会被对面的反调试检测的.
如图,一个PE文件的代码段开始一般在是0x1000.那么PE头信息所在的0-0xfff的内存是不会被进程执行的,而CRC检测肯定会把这一段给一起检测.
那么久引出我所说的方法,把PE头的PTE设置为无效状态,然后接管异常处理.在异常中处理,如果是被修改的进程的目标内存,记录下线程信息并且恢复PTE为有效状态.(此方法需要过PG)
该方法我在我写的工具中实现并且测试过,可以正确的找到CRC线程信息.
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
