首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
3
[讨论]关于在x64下隐藏可执行内存的问题
发表于: 2023-3-14 22:22 12127

[讨论]关于在x64下隐藏可执行内存的问题

AlexLoNe 活跃值
2023-3-14 22:22
12127

最近在研究如何在x64平台下研究可执行内存
翻遍了百度谷歌找到了几种隐藏内存的方式:

1.改PDE,PTE的U/S位

2.申请一块不可执行内存然后改PDE,PTE的not_excute标志位

3.断链VAD(然并luan?)

4.加载一个RWX 合法签名 dll到自身进程,然后利用写拷贝(COW)将自己的dll手动映射至RWX代码段,然后加载至目标进程启动(还有将某些"不执行的"dll的只读代码段直接修改PDE,PTE(write,copy_on_write,no_excute位)后在将自己的dll替换入内存,实现另类页表欺骗)

上述方法前两种老外称之页表欺骗,然而在实际测试中这种方式拉闸简直拉出天际(doge),而第三种不仅要过PG,而且貌似效果并不好,第四种相对骚一些但是实现起来不是那么友好,需要一定的条件,且目前主流反作弊已经能够检测到

还有就是万年不变的EPT/NPT隐藏内存,但是对效率的影响较大,暂且不考虑

那么目前x64上是否有更好的隐藏内存的思路?请大佬们赐教,不胜感激~


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 3
支持
分享
赞赏记录
参与人
雪币
留言
时间
Grav1ty
为你点赞~
2023-5-21 01:25
pysafe
为你点赞~
2023-5-6 10:30
704088
为你点赞~
2023-3-26 11:39
最新回复 (8)
咖啡_741298
雪    币: 4
活跃值: (4015)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
都没软用,放出来就河蟹
2023-3-15 16:23
0
piaoyi587
雪    币: 3584
活跃值: (4578)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
谁的可以用就深入学习下
2023-3-15 17:53
0
熬夜伤身
雪    币: 26
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
4
有,但是不可能在这公布,都是自己私用的
2023-3-15 22:55
0
七夜大大
雪    币: 6844
活跃值: (5184)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
太强了
2023-3-16 09:07
0
逆向爱好者
雪    币: 2099
活跃值: (5213)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
6
VT读写分离呗,读这块内存是一个样子,执行的时候又是另一个样子
2023-3-25 23:52
0
smallzhong_
雪    币: 3185
活跃值: (5734)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
私信
7
道理我都懂,可是vad断链不用过PG((
2023-3-26 15:45
0
AlexLoNe
雪    币: 265
活跃值: (1290)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
smallzhong_ 道理我都懂,可是vad断链不用过PG((
老哥你说的是改那个MmPfnDataBase吧
2023-5-20 02:08
0
小希希
雪    币: 2040
活跃值: (4305)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
学习学习
2023-5-20 22:33
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》