首页
社区
课程
招聘
[原创]关于我逆了一个号称VT读取物理内存条的驱动,最后发现他只个IO这件事
发表于: 2023-4-11 12:37 14638

[原创]关于我逆了一个号称VT读取物理内存条的驱动,最后发现他只个IO这件事

2023-4-11 12:37
14638

大家好,我是学习逆向时长两年半的个人练习生,这次分析的样本是lyshark/LyMemory究极VT无痕直接读取物理内存条的一款驱动,详情见截图。


由于作者提供了SDK所以逆向起来超级简单。

一下是R3的DLL中提供的接口:



 

真就IO呗???? !


接下来这部分是R0负责通讯的函数,牛逼就完事儿了。

 

总之牛逼克拉斯,支持物理内存条读写!!!

 



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2023-4-11 12:46 被LuciferAda编辑 ,原因: 标题少了三个字
收藏
免费 6
支持
分享
最新回复 (97)
雪    币: 12848
活跃值: (9147)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
2

虚假的物理内存条儿读写:MmGetPhysicalAddress、MmMapIoSpace


真正的物理内存条儿读写:



2023-4-11 13:53
2
雪    币: 88
活跃值: (649)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
把内存条叼嘴里,脑补画面玩,绝对稳
2023-4-11 13:58
0
雪    币: 2065
活跃值: (500)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
4
Territory 把内存条叼嘴里,脑补画面玩,绝对稳
你为什么这么熟练啊?
2023-4-11 14:05
0
雪    币: 2065
活跃值: (500)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
5
hzqst 虚假的物理内存条儿读写:MmGetPhysicalAddress、MmMapIoSpace真正的物理内存条儿读写:

2023-4-11 14:06
0
雪    币: 914
活跃值: (2468)
能力值: ( LV5,RANK:68 )
在线值:
发帖
回帖
粉丝
6
作者是不是本站的 lyshark
2023-4-11 14:13
0
雪    币: 183
活跃值: (2427)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
您好 在哪里买1000r每年的 无痕读写大多数进程内存(不拉闸)的版本?
2023-4-11 14:19
0
雪    币: 220
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
杰克王 您好 在哪里买1000r每年的 无痕读写大多数进程内存(不拉闸)的版本?

大多数指4399、7k7k、扫雷以及蜘蛛卡牌

最后于 2023-4-11 16:02 被wx_GoKu编辑 ,原因:
2023-4-11 15:59
0
雪    币: 56
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
他这个免责声明也摘的太干净了吧
2023-4-11 16:06
0
雪    币: 2065
活跃值: (500)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
10
万剑归宗作者是不是本站的 lyshark

好像是

最后于 2023-4-13 14:52 被kanxue编辑 ,原因:
2023-4-11 16:35
0
雪    币: 3876
活跃值: (3683)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
大手子 哈哈  
2023-4-11 17:27
0
雪    币: 1282
活跃值: (4570)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
12
hzqst 虚假的物理内存条儿读写:MmGetPhysicalAddress、MmMapIoSpace真正的物理内存条儿读写:
嘎嘎嘎嘎嘎嘎嘎嘎嘎嘎嘎嘎
2023-4-11 18:16
0
雪    币: 2065
活跃值: (500)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
13
杰克王 您好 在哪里买1000r每年的 无痕读写大多数进程内存(不拉闸)的版本?
上面不是po了作者的联系方式吗?有兴趣你可以找他咨询
2023-4-11 22:11
0
雪    币: 1558
活跃值: (3459)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
大佬,淘宝"DMA 银盾leet 终结者 PCIE内存读写",这种直接读pcie内存有了解不,如何评价?
2023-4-12 17:25
0
雪    币: 271
活跃值: (5661)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
您好,免费版仅仅只能够读写简单的功能,其次不会有人把付费的免费发出来,另外,本人的软件都有软件著作权保护,请规范您的行为
2023-4-12 18:14
0
雪    币: 271
活跃值: (5661)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
如有需求,可购买专业版
2023-4-12 18:16
0
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
17
lyshark 您好,免费版仅仅只能够读写简单的功能,其次不会有人把付费的免费发出来,另外,本人的软件都有软件著作权保护,请规范您的行为
这能忍?这不发函?
2023-4-12 19:06
0
雪    币: 2065
活跃值: (500)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
18
lyshark 您好,免费版仅仅只能够读写简单的功能,其次不会有人把付费的免费发出来,另外,本人的软件都有软件著作权保护,请规范您的行为
您的软件著作权证书方便Show出来吗?请问您是公司还是个人呢?您宣传的免费版是切换CR3,然后我并没有看到呢
2023-4-12 19:15
0
雪    币: 2065
活跃值: (500)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
19

看下面

最后于 2023-4-12 19:21 被LuciferAda编辑 ,原因: 忘记引用我们苦主的回帖了 PS:看雪这个回帖系统做的真拉
2023-4-12 19:19
0
雪    币: 2065
活跃值: (500)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
20
lyshark 如有需求,可购买专业版

为了维护您和您产品的名誉权,证明您不是虚假宣传,请您提供您专业版的demo,如果与您的宣传属实,我将公开向您道歉,并且帮助您的产品被更多人知道!如果您拒绝提供任何demo,您就是在虚假宣传哦。顺带一提您如果无法提供您的软件著作权证书,您可能涉嫌非法经营哦

最后于 2023-4-12 19:23 被LuciferAda编辑 ,原因: 漏字
2023-4-12 19:20
0
雪    币: 271
活跃值: (5661)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
LuciferAda lyshark 如有需求,可购买专业版 为了维护您和您产品的名誉权,证明您不是虚假宣传,请您提供您专业版的demo,如果与您的宣传属实,我将公开 ...
您就这素质?逆向别人东西你还有理由了?我让你逆向了吗?加了保护就是不让你这么做的,你还有理由了吗?你脑子哪根筋不对,demo我能给你吗,你是付费用户还是VIP,我为什么要给你?非法经营?我卖给你了?
2023-4-12 19:25
0
雪    币: 271
活跃值: (5661)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
lyshark 您就这素质?逆向别人东西你还有理由了?我让你逆向了吗?加了保护就是不让你这么做的,你还有理由了吗?你脑子哪根筋不对,demo我能给你吗,你是付费用户还是VIP,我为什么要给你?非法经营?我卖给你了?
我要告你了吗?哪里说的不对吗?不跟你一般见识,你还蹬鼻子上脸了
2023-4-12 19:26
0
雪    币: 2065
活跃值: (500)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
23
lyshark 您就这素质?逆向别人东西你还有理由了?我让你逆向了吗?加了保护就是不让你这么做的,你还有理由了吗?你脑子哪根筋不对,demo我能给你吗,你是付费用户还是VIP,我为什么要给你?非法经营?我卖给你了?
您别上来就破防啊,这样会显得你非常的没有风度的
2023-4-12 19:26
0
雪    币: 271
活跃值: (5661)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
LuciferAda 您的软件著作权证书方便Show出来吗?请问您是公司还是个人呢?您宣传的免费版是切换CR3,然后我并没有看到呢
是公司,著作权所属是企业,怎末滴
2023-4-12 19:26
0
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
25
lyshark 我要告你了吗?哪里说的不对吗?不跟你一般见识,你还蹬鼻子上脸了
这能忍?这不告他能忍?是我肯定忍不了。
2023-4-12 19:28
0
游客
登录 | 注册 方可回帖
返回
//