首页
社区
课程
招聘
[讨论]关于在x64下隐藏可执行内存的问题
发表于: 2023-3-14 22:22 11697

[讨论]关于在x64下隐藏可执行内存的问题

2023-3-14 22:22
11697

最近在研究如何在x64平台下研究可执行内存
翻遍了百度谷歌找到了几种隐藏内存的方式:

1.改PDE,PTE的U/S位

2.申请一块不可执行内存然后改PDE,PTE的not_excute标志位

3.断链VAD(然并luan?)

4.加载一个RWX 合法签名 dll到自身进程,然后利用写拷贝(COW)将自己的dll手动映射至RWX代码段,然后加载至目标进程启动(还有将某些"不执行的"dll的只读代码段直接修改PDE,PTE(write,copy_on_write,no_excute位)后在将自己的dll替换入内存,实现另类页表欺骗)

上述方法前两种老外称之页表欺骗,然而在实际测试中这种方式拉闸简直拉出天际(doge),而第三种不仅要过PG,而且貌似效果并不好,第四种相对骚一些但是实现起来不是那么友好,需要一定的条件,且目前主流反作弊已经能够检测到

还有就是万年不变的EPT/NPT隐藏内存,但是对效率的影响较大,暂且不考虑

那么目前x64上是否有更好的隐藏内存的思路?请大佬们赐教,不胜感激~


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 3
支持
分享
最新回复 (8)
雪    币: 6
活跃值: (3440)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
都没软用,放出来就河蟹
2023-3-15 16:23
0
雪    币: 4003
活跃值: (3858)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谁的可以用就深入学习下
2023-3-15 17:53
0
雪    币: 26
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
有,但是不可能在这公布,都是自己私用的
2023-3-15 22:55
0
雪    币: 6394
活跃值: (4637)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
太强了
2023-3-16 09:07
0
雪    币: 1627
活跃值: (4703)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
VT读写分离呗,读这块内存是一个样子,执行的时候又是另一个样子
2023-3-25 23:52
0
雪    币: 2987
活跃值: (5348)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
7
道理我都懂,可是vad断链不用过PG((
2023-3-26 15:45
0
雪    币: 265
活跃值: (1105)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
smallzhong_ 道理我都懂,可是vad断链不用过PG((
老哥你说的是改那个MmPfnDataBase吧
2023-5-20 02:08
0
雪    币: 1922
活跃值: (4165)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
学习学习
2023-5-20 22:33
0
游客
登录 | 注册 方可回帖
返回
//