【游戏保护】监视内存页(基址 关键数据)非法访问

最新推荐文章于 2022-03-05 15:52:24 发布
最新推荐文章于 2022-03-05 15:52:24 发布
阅读量1.2k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qazxswpanzer/article/details/107416608
版权

原理:对内存页面设置PAGE_NOACCESS保护 当程序内访问改页面内数据时产生ACCESS_VIOLATION 产生异常被VEH捕获 VEH处理函数内还原内存页面PAGE_READWRITE属性 然后设置ExceptionInfo->ContextRecord->EFlags |= 0x100 单步异常 返回EXCEPTION_CONTINUE_EXECUTION 程序再次执行 触发单步异常 单步异常处理内再次对内存页面设置PAGE_NOACCESS 等待下次异常访问
用途:检测非法模块 内存监视
可以根据ExceptionAddress 判断异常产生是否位于非法模块
游戏中常用来监视.data段 基址所在内存页

// Project1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <iostream>
#include <Windows.h>
PVOID Address;

LONG WINAPI VectoredHandler(
    struct _EXCEPTION_POINTERS* ExceptionInfo
)
{
    UNREFERENCED_PARAMETER(ExceptionInfo);
    DWORD oldProtect=NULL;
    printf("线程ID %d \n", GetCurrentThreadId());
    printf("ExceptionCode %x \n", ExceptionInfo->ExceptionRecord->ExceptionCode);
    printf("ExceptionAddress %x \n", ExceptionInfo->ExceptionRecord->ExceptionAddress);
    if (ExceptionInfo->ExceptionRecord->ExceptionCode == STATUS_SINGLE_STEP)
    {
        VirtualProtect(Address, 1024, PAGE_NOACCESS, &oldProtect);
    }
    if (ExceptionInfo->ExceptionRecord->ExceptionCode==EXCEPTION_ACCESS_VIOLATION)
    {
        printf("ExceptionAccessAddress %x \n", ExceptionInfo->ExceptionRecord->ExceptionInformation[1]);
        if (ExceptionInfo->ExceptionRecord->ExceptionInformation[1]==(DWORD)Address)
        {
            ExceptionInfo->ContextRecord->EFlags |= 0x100;
            VirtualProtect(Address, 1024, PAGE_READWRITE, &oldProtect);

        }
    }
   
    return EXCEPTION_CONTINUE_EXECUTION;
}

int main()
{
    DWORD oldProtect = NULL;
	AddVectoredExceptionHandler(1, VectoredHandler);
    Sleep(1000);
    printf("主线程ID %d \n", GetCurrentThreadId());
    
    Address=VirtualAlloc(NULL,1024, MEM_COMMIT, PAGE_READWRITE);
    printf("Address %x \n", Address);
   
    VirtualProtect(Address, 1024, PAGE_NOACCESS ,&oldProtect);
    *(DWORD*)Address = 123456;
    system("pause");
}

注意:VirutalProtect当中的需要改变属性的地址和字节数虽然是可以任意写 但是实际的属性修改保护是以页为单位的

实际效果
正常运行
在这里插入图片描述
注入代码后
在这里插入图片描述

Kasugano-Sora
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
监视其它进程中某一内存数据的变化
anikan_yu的专栏
08-28 2081
  怎么样才能得知其他进程中某一内存的内容发生了变化?有几个条件我想首先说明一下,在win32系统下想实时得到其他进程一段内存的内容变化是不可能的。唯一的可能是定时扫描。另外如果想要得知内核态内存的变化也是不太容易实现(姑且允许我这么我这么说,因为在方面我没有进行深入的调查)。还有CPU的要求我现在只是针对intel,因为手头没有AMD的CPU,所以就没有测试过。   如果想要实时得到其他进程
Valgrind检测非法访问内存
实践求真知
05-18 650
一代码 #include<iostream> #include<stdlib.h> using namespace std; void func(){ int *x=(int *)malloc( 10 * sizeof ( int ) ) ; x[10]=0; } int main(){ func(); cout<<"don...
内存监视工具 可监视程序的动作 ProcessActivityView
12-24
内存监视工具 可监视程序的动作 ProcessActivityView 可根据需要跟踪程序对内存的读写操作.调试必备。
【Windows 逆向】使用 CE 分析内存地址 ( 运行游戏 | 使用 CE 工具分析游戏内子弹数量对应的内存地址 | 内存地址初步查找 | 使用二分法定位最终的内存地址 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-12 4892
一、运行游戏、 二、使用 CE 分析游戏内子弹数量对应的内存地址、 1、内存地址初步查找、 2、使用二分法定位最终的内存地址、
监控自身进程指定内存块是否被读写(防CE)
IT男也疯狂
06-28 6470
无意当中看到的一种监控读写的方法,写了个DEMO留档// WsWatch.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include &lt;Psapi.h&gt; #pragma comment(lib, "psapi.lib") #ifndef PAGE_SIZE #define PAGE_SIZE 0x1000 #endif #define N...
内存改写及检测
黄昏的晨曦
03-05 583
本文所讨论的“内存”主要指(静态)数据区、堆区和栈区空间。数据内存在程序编译时分配,该内存的生存期为程序的整个运行期间,如全局变量和static关键字所声明的静态变量。函数执行时在栈上开辟局部自动变量的储存空间,执行结束时自动释放栈区内存。堆区内存亦称动态内存,由程序在运行时调用malloc/calloc/realloc等库函数申请,并由使用者显式地调用free库函数释放。堆内存比栈内存分配容量更大,生存期由使用者决定,故非常灵活。然而,堆内存使用时很容易出现内存泄露、内存越界和重复释放等严重问题。 数
简易内存基址查找游戏辅助
最新发布
04-11
易语言
内存基址修改器.zip
09-09
内存基址修改器是一款用于操作和修改程序内存地址的工具,尤其在游戏作弊或软件调试领域有着广泛应用。它的工作原理是通过读取和修改应用程序内存中的数据,来改变程序的运行状态,例如增加游戏资源、解锁特殊功能等...
游戏数据遍历工具V1.3
07-24
游戏数据遍历工具对那些需要研究游戏内存的开发者们多多少少是有一定帮助的. 通常游戏更新的地址都会改变,而偏移一般很少是不变的,利用本工具可根据以前的偏移帮助查新的基址.
易语言源码易语言内存基址搜索源码.rar
03-30
内存基址通常指的是某个变量或数据结构在内存中的起始位置。在易语言中,我们可以通过内存读取函数获取内存中的数据,并通过比较找到目标基址内存搜索的实现通常分为以下几个步骤: 1. **定义搜索条件**:确定...
易语言内存基址搜索
07-22
易语言内存基址搜索源码,内存基址搜索,内存搜索,模块内存地址,模块内存搜索,地址是否存在,GetRead,读内存小数型,读内存整数型,写内存整数型,读内存文本型,写内存文本型,读内存字节集,十到十六,搜索地址,搜索线程,...
关于PAGE_NOACCESS
天高云淡
04-26 2622
<br />The following table lists the memory-protection options provided by Windows. You must specify one of the following values when allocating or protecting a page in memory.<br />ValueMeaningPAGE_EXECUTEEnables execute access to the committed region of p
彻底杜绝可恶的缓冲区溢出的问题!
随.心.所.记
02-16 3351
From: http://www.realdodo.com/blog/?id=194缓 冲区溢出是困扰程序员多年的痼疾,特别是使用C语言的程序员,面对毫无保证可言的内存指针,既不能实时检查内存区域的真实大小,也不能避免内存使用者有意 或无意的缓冲区溢出操作,实在是非常的无奈。就算是C++的程序员,其实境遇也好不到哪里去,比如STL里的vector,在使用operator []和迭代器来访问数据成员
windows 用到的API总结和坑(持续更新11/09)
谢白羽
09-30 775
文章目录1.VirtualAlloc 函数 (memoryapi.h) 指定位置分配内存 1.VirtualAlloc 函数 (memoryapi.h) 指定位置分配内存 链接 https://docs.microsoft.com/en-us/windows/win32/api/memoryapi/nf-memoryapi-virtualalloc 语法 LPVOID VirtualAlloc( LPVOID lpAddress, SIZE_T dwSize, DWORD flAl
【调试:调试工具】 Windbg的gflags.exe 和 pageheap的使用和原理分析
weitaming1的博客
11-13 3221
Page Heap机制   提示说堆内存被破坏,有时候这样的错误在比较小的程序里面也许不会对整个程序造成破坏,依然能够继续运行,但是千万不要放过,像这种破坏堆内存的隐藏BUG,说不准哪天就会造成整个软件的crash。另外我要提醒的是,release版本也许什么提示都没有,直接放过了,这是因为在debug下,操作系统用DebugWin32Heap来代替正常的heap分配内存空间。在这个堆上的任何...
QT 捕获崩溃日志并定位代码块
Hello___Sunshine的专栏
09-06 3449
1.生成dump文件 这边参考博客中的源码地址,breakpaddemo不同编译环境可直接编译运行使用,可得到dmp文件 2. dump调试(msvc) 2.1 vs2010编译调试 关键是原项目需要生成pdb文件,vs需要如下配置(偷图): 项目->属性->C/C+±>General->Debug Information Format->Program Database 项目->属性->C/C+±>Optimization->Optimizat
内存断点调试的原理
weixin_30856725的博客
03-13 431
内存读写断点的实现,是把相关内存属性设置为PAGE_NOACCESS,这样当此内存被读写的时候会有异常传给调试器。 当异常传给调试器时候,debugee进程被挂起,调试器把内存属性重新修改回去,同时设置一个单步调试断点。这样debugee进程才可以正常执行过去,否则会一直被挂起。因为被设置了单步调试断点,所以执行一个指令就再次挂起,交给调试器去处理。 这时候调试器把面属性重...
反调试 - TrapFlag
LYSM
07-13 882
原理 TrapFlag(陷阱标志位)。这种反调试手段属于异常的范畴,通过设置 eflags 寄存器的值来触发某个异常,当存在调试器时这个异常由调试器接管(不走我们 的异常处理回调函数),但调试器也可以选择不接管这个异常,所以这属于一种低级的反调试手段 ????。 代码(以单步异常为例) // Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include <Windows.h>
反编译游戏如何寻找游戏基址
05-26
一旦你确定了游戏中的某个关键变量或数据结构的位置,你可以尝试通过多次运行游戏并比较内存快照来确定游戏基址偏移量。你可以使用静态或动态分析工具来自动化这个过程。 需要注意的是,反编译游戏和寻找基址是一项...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值