-
-
[讨论]分析某个外g源码2
-
发表于: 2023-12-13 23:20
-
这个外g留下的特征是什么呢,从内存角度来说他是修改了续表函数,而保存虚表函数的地址在dxgi.dll模块里,反作弊可以扫描这个地址有没有被非法修改
或者说判断0x40偏移这个函数的汇编代码是否与原来dxgi的汇编代码是否大致相同,如果相差很大,即可判非法
而我们攻击方则要么干检测,要么HOOK别的地方,
这个HOOKresizeBuffer经测试是无用的
我们来找这个Present还有没有别的HOOK的地方,这个函数之所以能被HOOk绘制方框
是因为有这个IDXGISwapChain* SwapChain参数,然后调用某些与之相关联的东西,如果我们换成别的函数hook,就必须找到rcx是一个IDXGISwapChain* 的参数的函数,这个我也没找到, 
看得出只调用一次,那我干脆手动调用一次,
这四个可以当做hook函数的内容,然后我们去找别的iat进行HOOK
这样完美解决内存校验
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
