外挂界的二赖子?DMA物理读写内存设备到底是个啥-编程技术-看雪-安全社区|安全招聘|kanxue.com

外挂界的二赖子?DMA物理读写内存设备到底是个啥

发表于: 2023-3-31 03:39 41836

外挂界的二赖子?DMA物理读写内存设备到底是个啥

章鱼C

2023-3-31 03:39

41836

早在大概20年左右我就注意到了github dma的项目

也就是这个 73aK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6L8r3q4U0K9K6t1@1y4e0m8Q4x3V1k6U0M7$3N6G2i4K6u0V1k6r3#2S2i4K6u0V1L8%4k6W2M7X3I4S2P5b7`.`.

该项目使用了DMA来绕过反作弊

实际原理比这个更加复杂一些不过这篇帖子只讨论关于DMA部分的内容

其实DMA全称Direct Memory Access，即直接存储器访问

也就是利用PCIE设备来直接读写物理内存

这种方式绕过了操作系统做到了可以在目标机上没有任何代码运行的情况下做到读写内存的操作

这个项目是DMA的发源地 328K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6#2k6Y4u0A6M7$3E0Q4x3V1k6H3j5$3W2D9k6h3g2U0K9l9`.`.

具体关于DMA物理读写设备的原理都可以参考这个项目

包括上面那个CSGO的读写绘制也是依赖了pcileech

大概年前通过一位朋友拿到了一块DMA读写设备拿回来了以后一直压箱底没有去玩不得不说万能的朋友圈真是啥都有

今天有空于是拿出来试了试

首先是下载DMA依赖或者我喜欢称之为基础库

因为DMA只能读物理内存

但当前的操作系统都有虚拟内存到物理内存的转换

一个物理内存可以对应多个虚拟内存等等知识不再具体聊下去了

所以pcileech这个装备库就帮你完成了绝大多数的工作

你可以直接输入虚拟内存然后他会自动帮你转换再通过DMA设备进行读取内容

总之这个库的功能十分强大

这部分是自带的python代码当然我跑的是win32环境

你可以看到库里还能直接帮你枚举进程列表

实际上他原理大概类似特征定位

只要定位到了ntos的地址剩下的都好说

不过说起来简单想实现这个库还是挺难的

因为我的测试机是个破旧的华南X79

在经历了一大堆麻烦事以后才终于跑通了这份代码

并且我这台电脑上装的还是python27

于是乎我直接导入头文件开个测试工程开始试一下到底好不好用

不得不说这个库的功能的确齐全

你只需要初始化然后去获取PID列表即可

拿到PID以后下一步是进程名

进程名包括进程完整名都可以直接读取

u1s1 这东西方便的地方在于即便是进程的EPROCESS和PEB等他都给你写出来了直接看这个结构体

同时VMMDLL_Map_GetModuleFromName这个函数还能获取模块地址以及模块大小等等信息

那下一步当然就是读内存了

拿到MZ 完全没问题

至此关于DMA的体验就结束了因为我那台华南X79的主板兼容性很差所以我也没有继续深入的体验了

不过在我朋友的朋友的朋友的帮助下我还拿到了一份特殊的硬件图不得不说神奇的朋友还是给力并且是整个硬件设计图全在光压缩包就老大了

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

最后于 2023-3-31 04:25 被章鱼C编辑，原因：

#基础知识 #系统内核 #驱动开发 #HOOK/注入 #开源分享 #开发技巧

收藏・39

免费・15

支持

最新回复 (21)
黑洛雪币： 6129 活跃值： (4921) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 78 关注私信	黑洛 1 2 楼 DMA的话，其实各大厂，包括国内的几个厂都已经有检测了。DMA由于自身的局限，在fps上的表现差强人意。即使不检测硬件设备，通过判断录像回放的方式也比较容易甄别，当然，有资格被看录像的终究只是少数。然而DMA拉闸还是一拉一大批，为什么呢？总不可能是几百个客服一人看16块屏幕吧？别问，问就是人工！问就是买单人独立固件/硬件！圈十几个直接提车，比微商还好收米是吧？顺便，你这发帖时间是真阴间啊。最后于 2023-3-31 06:55 被黑洛编辑，原因： 2023-3-31 06:47 1
章鱼C 雪币： 187 活跃值： (2674) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 3 楼黑洛 DMA的话，其实各大厂，包括国内的几个厂都已经有检测了。DMA由于自身的局限，在fps上的表现差强人意。即使不检测硬件设备，通过判断录像回放的方式也比较容易甄别，当然，有资格被看录像的终究只是少数。然 ... 经过3年发展其实已经很猛了包括读写速度也冲上去了其他方面也在进化不过局限性也摆在那了注定没啥风浪昨晚通宵了我玩了一夜AI画图这玩意真的带劲啊哈哈哈 2023-3-31 08:59 1
SSH山水画雪币： 3018 活跃值： (14738) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 325 粉丝 385 关注私信	SSH山水画 3 4 楼章鱼C 经过3年发展其实已经很猛了包括读写速度也冲上去了其他方面也在进化不过局限性也摆在那了注定没啥风浪昨晚通宵了我玩了一夜AI画图这玩意真的带劲啊哈哈哈通宵？你不用上班的吗？ 2023-3-31 09:16 0
黑洛雪币： 6129 活跃值： (4921) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 78 关注私信	黑洛 1 5 楼章鱼C 经过3年发展其实已经很猛了包括读写速度也冲上去了其他方面也在进化不过局限性也摆在那了注定没啥风浪昨晚通宵了我玩了一夜AI画图这玩意真的带劲啊哈哈哈我手里几块板子，读写速度没有超过6000的，场景有限最后于 2023-3-31 09:32 被黑洛编辑，原因： 2023-3-31 09:30 1
章鱼C 雪币： 187 活跃值： (2674) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 6 楼 SSH山水画通宵？你不用上班的吗？最近失业了正在当无业游民 2023-3-31 10:10 0
章鱼C 雪币： 187 活跃值： (2674) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 7 楼黑洛章鱼C 经过3年发展其实已经很猛了包括读写速度也冲上去了其他方面也在进化不过局限性也摆在那了注定没啥风浪昨晚通宵了我玩了一夜AI画图 ... 我手里这块3 400M/S 你那个应该是3380 2023-3-31 10:10 0
shinratensei 雪币： 1708 活跃值： (215912) 能力值： ( LV4，RANK：40 ) 在线值：发帖 1 回帖 140 粉丝 15 关注私信	shinratensei 1 8 楼 tql 2023-3-31 10:46 0
广岛秋泽雪币： 9133 活跃值： (2577) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 71 粉丝 5 关注私信	广岛秋泽 9 楼你这应该是某赛灵思开发板的PCB源文件成本太高了，目前最低成本的应该是7A35T的方案。 2023-3-31 11:35 1
章鱼C 雪币： 187 活跃值： (2674) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 10 楼广岛秋泽你这应该是某赛灵思开发板的PCB源文件成本太高了，目前最低成本的应该是7A35T的方案。朋友送的具体我也不清楚 2023-3-31 12:55 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 11 楼我草，物理外挂，666啊 2023-3-31 13:26 0
扭牛雪币： 798 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	扭牛 12 楼感觉外挂最难过的是行为监测 2023-3-31 16:46 0
piaoyi587 雪币： 3596 活跃值： (4588) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 197 粉丝 8 关注私信	piaoyi587 13 楼玩游戏图个开心。。还不如拿钱去R小JJ 2023-4-1 15:58 0
章鱼C 雪币： 187 活跃值： (2674) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 14 楼 iamasbcx 玩游戏图个开心。。还不如拿钱去R小JJ 无敌赞同 2023-4-2 17:49 0
黄枫叶雪币： 212 活跃值： (117) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 1 关注私信	黄枫叶 15 楼 “我还拿到了一份特殊的硬件图”有那么特殊吗？？不就是AX7015的开发板吗。。。他们开发了软件部分，把HDMI融合器和DMA的功能整合到了一起。 2023-4-4 10:03 1
wx_墨_198 雪币： 663 活跃值： (2796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 1 关注私信	wx_墨_198 16 楼 DMA下限很低，刷个板子就能用，上限也很高，但是大部分是处于水平比较低的，说白了就是圈钱的 2023-4-4 11:34 0
章鱼C 雪币： 187 活跃值： (2674) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 17 楼黄枫叶 “我还拿到了一份特殊的硬件图”有那么特殊吗？？不就是AX7015的开发板吗。。。他们开发了软件部分，把HDMI融合器和DMA的功能整合到了一起。我是20年底21年初拿到的够不够"特殊"? 2023-4-4 16:48 0
BDBig 雪币： 632 活跃值： (1245) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 18 楼 6 2023-4-15 13:42 0
hzqst 雪币： 12871 活跃值： (9327) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 597 关注私信	hzqst 3 19 楼挖个坟，我的评价是 2023-4-15 14:01 0
章鱼C 雪币： 187 活跃值： (2674) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 20 楼 hzqst 挖个坟，我的评价是小问题虚拟化热度这么久都还没过去这种"新名词"当然可以接着火我要是隔壁我就加一条pro plus max商业版采用DMA读写最后于 2023-4-16 00:52 被章鱼C编辑，原因： 2023-4-16 00:49 0
大道在我雪币： 8459 活跃值： (4976) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 211 粉丝 43 关注私信	大道在我 21 楼这玩意家里没矿，应该开不起，动不动就是988,888的 2023-4-18 21:52 0
大道在我雪币： 8459 活跃值： (4976) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 211 粉丝 43 关注私信	大道在我 22 楼对了据说对机器要求还不少，还要2台电脑，我直接来个陀螺乱杀不爽？ 2023-4-18 21:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

章鱼C

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
黑洛雪币： 6129 活跃值： (4921) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 78 关注私信	黑洛 1 2 楼 DMA的话，其实各大厂，包括国内的几个厂都已经有检测了。DMA由于自身的局限，在fps上的表现差强人意。即使不检测硬件设备，通过判断录像回放的方式也比较容易甄别，当然，有资格被看录像的终究只是少数。然而DMA拉闸还是一拉一大批，为什么呢？总不可能是几百个客服一人看16块屏幕吧？别问，问就是人工！问就是买单人独立固件/硬件！圈十几个直接提车，比微商还好收米是吧？顺便，你这发帖时间是真阴间啊。最后于 2023-3-31 06:55 被黑洛编辑，原因： 2023-3-31 06:47 1
章鱼C 雪币： 187 活跃值： (2674) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 3 楼黑洛 DMA的话，其实各大厂，包括国内的几个厂都已经有检测了。DMA由于自身的局限，在fps上的表现差强人意。即使不检测硬件设备，通过判断录像回放的方式也比较容易甄别，当然，有资格被看录像的终究只是少数。然 ... 经过3年发展其实已经很猛了包括读写速度也冲上去了其他方面也在进化不过局限性也摆在那了注定没啥风浪昨晚通宵了我玩了一夜AI画图这玩意真的带劲啊哈哈哈 2023-3-31 08:59 1
SSH山水画雪币： 3018 活跃值： (14738) 能力值： ( LV12，RANK：380 ) 在线值：发帖 54 回帖 325 粉丝 385 关注私信	SSH山水画 3 4 楼章鱼C 经过3年发展其实已经很猛了包括读写速度也冲上去了其他方面也在进化不过局限性也摆在那了注定没啥风浪昨晚通宵了我玩了一夜AI画图这玩意真的带劲啊哈哈哈通宵？你不用上班的吗？ 2023-3-31 09:16 0
黑洛雪币： 6129 活跃值： (4921) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 78 关注私信	黑洛 1 5 楼章鱼C 经过3年发展其实已经很猛了包括读写速度也冲上去了其他方面也在进化不过局限性也摆在那了注定没啥风浪昨晚通宵了我玩了一夜AI画图这玩意真的带劲啊哈哈哈我手里几块板子，读写速度没有超过6000的，场景有限最后于 2023-3-31 09:32 被黑洛编辑，原因： 2023-3-31 09:30 1
章鱼C 雪币： 187 活跃值： (2674) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 6 楼 SSH山水画通宵？你不用上班的吗？最近失业了正在当无业游民 2023-3-31 10:10 0
章鱼C 雪币： 187 活跃值： (2674) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 7 楼黑洛章鱼C 经过3年发展其实已经很猛了包括读写速度也冲上去了其他方面也在进化不过局限性也摆在那了注定没啥风浪昨晚通宵了我玩了一夜AI画图 ... 我手里这块3 400M/S 你那个应该是3380 2023-3-31 10:10 0
shinratensei 雪币： 1708 活跃值： (215912) 能力值： ( LV4，RANK：40 ) 在线值：发帖 1 回帖 140 粉丝 15 关注私信	shinratensei 1 8 楼 tql 2023-3-31 10:46 0
广岛秋泽雪币： 9133 活跃值： (2577) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 71 粉丝 5 关注私信	广岛秋泽 9 楼你这应该是某赛灵思开发板的PCB源文件成本太高了，目前最低成本的应该是7A35T的方案。 2023-3-31 11:35 1
章鱼C 雪币： 187 活跃值： (2674) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 10 楼广岛秋泽你这应该是某赛灵思开发板的PCB源文件成本太高了，目前最低成本的应该是7A35T的方案。朋友送的具体我也不清楚 2023-3-31 12:55 0
zx_348891 雪币： 73 活跃值： (923) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 257 粉丝 0 关注私信	zx_348891 11 楼我草，物理外挂，666啊 2023-3-31 13:26 0
扭牛雪币： 798 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	扭牛 12 楼感觉外挂最难过的是行为监测 2023-3-31 16:46 0
piaoyi587 雪币： 3596 活跃值： (4588) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 197 粉丝 8 关注私信	piaoyi587 13 楼玩游戏图个开心。。还不如拿钱去R小JJ 2023-4-1 15:58 0
章鱼C 雪币： 187 活跃值： (2674) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 14 楼 iamasbcx 玩游戏图个开心。。还不如拿钱去R小JJ 无敌赞同 2023-4-2 17:49 0
黄枫叶雪币： 212 活跃值： (117) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 1 关注私信	黄枫叶 15 楼 “我还拿到了一份特殊的硬件图”有那么特殊吗？？不就是AX7015的开发板吗。。。他们开发了软件部分，把HDMI融合器和DMA的功能整合到了一起。 2023-4-4 10:03 1
wx_墨_198 雪币： 663 活跃值： (2796) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 1 关注私信	wx_墨_198 16 楼 DMA下限很低，刷个板子就能用，上限也很高，但是大部分是处于水平比较低的，说白了就是圈钱的 2023-4-4 11:34 0
章鱼C 雪币： 187 活跃值： (2674) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 17 楼黄枫叶 “我还拿到了一份特殊的硬件图”有那么特殊吗？？不就是AX7015的开发板吗。。。他们开发了软件部分，把HDMI融合器和DMA的功能整合到了一起。我是20年底21年初拿到的够不够"特殊"? 2023-4-4 16:48 0
BDBig 雪币： 632 活跃值： (1245) 能力值： ( LV4，RANK：50 ) 在线值：发帖 22 回帖 124 粉丝 67 关注私信	BDBig 18 楼 6 2023-4-15 13:42 0
hzqst 雪币： 12871 活跃值： (9327) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1794 粉丝 597 关注私信	hzqst 3 19 楼挖个坟，我的评价是 2023-4-15 14:01 0
章鱼C 雪币： 187 活跃值： (2674) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 119 关注私信	章鱼C 20 楼 hzqst 挖个坟，我的评价是小问题虚拟化热度这么久都还没过去这种"新名词"当然可以接着火我要是隔壁我就加一条pro plus max商业版采用DMA读写最后于 2023-4-16 00:52 被章鱼C编辑，原因： 2023-4-16 00:49 0
大道在我雪币： 8459 活跃值： (4976) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 211 粉丝 43 关注私信	大道在我 21 楼这玩意家里没矿，应该开不起，动不动就是988,888的 2023-4-18 21:52 0
大道在我雪币： 8459 活跃值： (4976) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 211 粉丝 43 关注私信	大道在我 22 楼对了据说对机器要求还不少，还要2台电脑，我直接来个陀螺乱杀不爽？ 2023-4-18 21:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复