- 博客(4)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 【驱动保护】某P的内存降权
上游戏打开CE发现在CE中对游戏没有内存操作权限(没有图标)打开PChunter查看Object钩子 发现某P有对进程句柄权限回调的钩子方式1:直接摘除回调结果:黑屏重启方式2:回调入口处写ret结果:黑屏重启看样子都有保护 普通的方法肯定是不行了 跟进去看一下回调函数的情况吧函数非常简单 观察它的汇编代码我们发现 它其实是循环调用某一个表里面的函数表头FFFFF88007E3913C 48:8D1D 95C70700 lea rbx, [rip+7C795]FFFFF
2020-10-12 18:43:20
3224
5
原创 【游戏保护】R3下的Shadow API
原理:其实就是把原先的Dll内部的API代码复制到另一块内存执行 类似于内存加载的dll 方法很简单也很有效 某些游戏 dxf xf *p保护下的游戏基本都在用 对r0 hook毫无卵用用途:规避R3下 hook#include <Windows.h>#define FunNumber 20struct NtFunction{ LPCSTR name; PVOID Fun;};NtFunction list[FunNumber];DWORD FunMem = 0;
2020-08-05 19:16:25
740
原创 【游戏保护】监视内存页(基址 关键数据)非法访问
原理:对内存页面设置PAGE_NOACCESS保护 当程序内访问改页面内数据时产生ACCESS_VIOLATION 产生异常被VEH捕获 VEH处理函数内还原内存页面PAGE_READWRITE属性 然后设置ExceptionInfo->ContextRecord->EFlags |= 0x100 单步异常 返回EXCEPTION_CONTINUE_EXECUTION 程序再次执行 触发单步异常 单步异常处理内再次对内存页面设置PAGE_NOACCESS 等待下次异常访问用途:检测非法模块 内
2020-07-17 20:54:41
1320
Processor Pack
2010-08-07
cs+hl2等源代码
2010-08-07
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人