eac 反调试_白帽Wiki - 白帽入门,从这里开始!

最新推荐文章于 2022-07-24 20:21:05 发布
最新推荐文章于 2022-07-24 20:21:05 发布
阅读量360 收藏
点赞数
文章标签: eac 反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35064596/article/details/112990504
版权
本文介绍了一种动态查找并加载Windows API的方法,包括LOADLIBRARYA、GETPROCADDRESS、VIRTUALALLOC等,以及如何使用NTFLUSHINSTRUCTIONCACHE来刷新指令缓存,实现远程代码注入和反调试技术。通过解析PE文件头,获取导出函数地址,并对内存进行操作,最终执行目标代码。
摘要由CSDN通过智能技术生成

用来干什么懂的都懂

```cpp

#define HUOJI_POOL_TAG 'huoJ'

#define CALCSIZE(n,f) (ULONG_PTR)f - (ULONG_PTR)n

#define PAGE_ALIGN(Va) ((PVOID)((ULONG_PTR)(Va) & ~(PAGE_SIZE - 1)))

typedef HMODULE(WINAPI* LOADLIBRARYA)(LPCSTR);

typedef FARPROC(WINAPI* GETPROCADDRESS)(HMODULE, LPCSTR);

typedef LPVOID(WINAPI* VIRTUALALLOC)(LPVOID, SIZE_T, DWORD, DWORD);

typedef DWORD(NTAPI* NTFLUSHINSTRUCTIONCACHE)(HANDLE, PVOID, ULONG);

typedef BOOL(WINAPI* ReadFileT)(HANDLE, LPVOID, DWORD, LPDWORD, PVOID);

typedef HANDLE(WINAPI* CreateFileAT)(LPCSTR, DWORD, DWORD, PVOID, DWORD, DWORD, HANDLE);

typedef DWORD(WINAPI* GetFileSizeT)(HANDLE, LPDWORD);

typedef BOOL(WINAPI* CloseHandleT)(HANDLE);

#define KERNEL32DLL_HASH0x6A4ABC5B

#define NTDLLDLL_HASH0x3CFA685D

#define LOADLIBRARYA_HASH0xEC0E4E8E

#define GETPROCADDRESS_HASH0x7C0DFCAA

#define VIRTUALALLOC_HASH0x91AFCA54

#define NTFLUSHINSTRUCTIONCACHE_HASH0x534C0AB8

#define HASH_KEY13

#define DLL_PROCESS_ATTACH1

#define DLL_THREAD_ATTACH2

#define DLL_THREAD_DETACH3

#define DLL_PROCESS_DETACH0

typedef BOOL(WINAPI* DLLMAIN)(HINSTANCE, DWORD, LPVOID);

#ifndef PXE_BASE

#define PXE_BASE 0xFFFFF6FB7DBED000UI64

#endif

#ifndef PXE_SELFMAP

#define PXE_SELFMAP 0xFFFFF6FB7DBEDF68UI64

#endif

#ifndef PPE_BASE

#define PPE_BASE 0xFFFFF6FB7DA00000UI64

#endif

#ifndef PDE_BASE

#define PDE_BASE 0xFFFFF6FB40000000UI64

#endif

#ifndef PTE_BASE

#define PTE_BASE 0xFFFFF68000000000UI64

#endif

typedef struct _LDR_DATA_TABLE_ENTRY {

LIST_ENTRY InLoadOrderLinks;

LIST_ENTRY InMemoryOrderLinks;

LIST_ENTRY InInitializationOrderLinks;

PVOID DllBase;

PVOID EntryPoint;

ULONG SizeOfImages;

UNICODE_STRING FullDllName;

UNICODE_STRING BaseDllName;

ULONG Flags;

USHORT LoadCount;

USHORT TlsIndex;

union {

LIST_ENTRY HashLinks;

struct {

PVOID SectionPointer;

ULONG CheckSum;

};

};

union {

struct {

ULONG TimeDateStamp;

};

struct {

PVOID LoadedImports;

};

};

}LDR_DATA_TABLE_ENTRY, * PLDR_DATA_TABLE_ENTRY;

typedef struct

{

WORDoffset : 12;

WORDtype : 4;

} IMAGE_RELOC, * PIMAGE_RELOC;

VOID WINAPI RemoteLoadStart()

{

LOADLIBRARYA pLoadLibraryA = NULL;

GETPROCADDRESS pGetProcAddress = NULL;

VIRTUALALLOC pVirtualAlloc = NULL;

NTFLUSHINSTRUCTIONCACHE pNtFlushInstructionCache = NULL;

ReadFileT pReadFile = NULL;

CreateFileAT pCreateFile = NULL;

GetFileSizeT pGetFileSize = NULL;

CloseHandleT pCloseHandle = NULL;

USHORT usCounter;

ULONG_PTR uiBaseAddress;

ULONG_PTR uiAddressArray;

ULONG_PTR uiNameArray;

ULONG_PTR uiExportDir;

ULONG_PTR uiNameOrdinals;

DWORD dwHashValue;

ULONG_PTR uiHeaderValue;

ULONG_PTR uiValueA;

ULONG_PTR uiValueB;

ULONG_PTR uiValueC;

ULONG_PTR uiValueD;

ULONG_PTR uiValueE;

uiBaseAddress = __readgsqword(0x60);

uiBaseAddress = *(PDWORD64)((PUCHAR)uiBaseAddress + 0x18);

uiValueA = (ULONG_PTR)(*(PLIST_ENTRY)((PUCHAR)uiBaseAddress + 0x10)).Flink;

ULONG_PTR Kernel32Base, NTDllBase;

while (uiValueA)

{

uiValueB = (ULONG_PTR)((PLDR_DATA_TABLE_ENTRY)uiValueA)->BaseDllName.Buffer;

usCounter = ((PLDR_DATA_TABLE_ENTRY)uiValueA)->BaseDllName.Length;

uiValueC = 0;

do

{

uiValueC = _rotr((DWORD)uiValueC, HASH_KEY);

if (*((BYTE*)uiValueB) >= 'a')

uiValueC += *((BYTE*)uiValueB) - 0x20;

else

uiValueC += *((BYTE*)uiValueB);

uiValueB++;

} while (--usCounter);

if ((DWORD)uiValueC == KERNEL32DLL_HASH)

{

uiBaseAddress = (ULONG_PTR)((PLDR_DATA_TABLE_ENTRY)uiValueA)->DllBase;

Kernel32Base = uiBaseAddress;

uiExportDir = uiBaseAddress + ((PIMAGE_DOS_HEADER)uiBaseAddress)->e_lfanew;

uiNameArray = (ULONG_PTR) & ((PIMAGE_NT_HEADERS)uiExportDir)->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT];

uiExportDir = (uiBaseAddress + ((PIMAGE_DATA_DIRECTORY)uiNameArray)->VirtualAddress);

uiNameArray = (uiBaseAddress + ((PIMAGE_EXPORT_DIRECTORY)uiExportDir)->AddressOfNames);

uiNameOrdinals = (uiBaseAddress + ((PIMAGE_EXPORT_DIRECTORY)uiExportDir)->AddressOfNameOrdinals);

usCounter = 3;

while (usCounter > 0)

{

char* c = (char*)(uiBaseAddress + DEREF_32(uiNameArray));

register DWORD h = 0;

do

{

h = _rotr(h, HASH_KEY);

h += *c;

} while (*++c);

dwHashValue = h;

if (dwHashValue == LOADLIBRARYA_HASH || dwHashValue == GETPROCADDRESS_HASH || dwHashValue == VIRTUALALLOC_HASH)

{

uiAddressArray = (uiBaseAddress + ((PIMAGE_EXPORT_DIRECTORY)uiExportDir)->AddressOfFunctions);

uiAddressArray += (DEREF_16(uiNameOrdinals) * sizeof(DWORD));

if (dwHashValue == LOADLIBRARYA_HASH)

pLoadLibraryA = (LOADLIBRARYA)(uiBaseAddress + DEREF_32(uiAddressArray));

else if (dwHashValue == GETPROCADDRESS_HASH)

pGetProcAddress = (GETPROCADDRESS)(uiBaseAddress + DEREF_32(uiAddressArray));

else if (dwHashValue == VIRTUALALLOC_HASH)

pVirtualAlloc = (VIRTUALALLOC)(uiBaseAddress + DEREF_32(uiAddressArray));

usCounter--;

}

uiNameArray += sizeof(DWORD);

uiNameOrdinals += sizeof(WORD);

}

}

else if ((DWORD)uiValueC == NTDLLDLL_HASH)

{

uiBaseAddress = (ULONG_PTR)((PLDR_DATA_TABLE_ENTRY)uiValueA)->DllBase;

NTDllBase = uiBaseAddress;

uiExportDir = uiBaseAddress + ((PIMAGE_DOS_HEADER)uiBaseAddress)->e_lfanew;

uiNameArray = (ULONG_PTR) & ((PIMAGE_NT_HEADERS)uiExportDir)->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT];

uiExportDir = (uiBaseAddress + ((PIMAGE_DATA_DIRECTORY)uiNameArray)->VirtualAddress);

uiNameArray = (uiBaseAddress + ((PIMAGE_EXPORT_DIRECTORY)uiExportDir)->AddressOfNames);

uiNameOrdinals = (uiBaseAddress + ((PIMAGE_EXPORT_DIRECTORY)uiExportDir)->AddressOfNameOrdinals);

usCounter = 1;

while (usCounter > 0)

{

char* c = (char*)(uiBaseAddress + DEREF_32(uiNameArray));

register DWORD h = 0;

do

{

h = _rotr(h, HASH_KEY);

h += *c;

} while (*++c);

dwHashValue = h;

if (dwHashValue == NTFLUSHINSTRUCTIONCACHE_HASH)

{

uiAddressArray = (uiBaseAddress + ((PIMAGE_EXPORT_DIRECTORY)uiExportDir)->AddressOfFunctions);

uiAddressArray += (DEREF_16(uiNameOrdinals) * sizeof(DWORD));

if (dwHashValue == NTFLUSHINSTRUCTIONCACHE_HASH)

pNtFlushInstructionCache = (NTFLUSHINSTRUCTIONCACHE)(uiBaseAddress + DEREF_32(uiAddressArray));

usCounter--;

}

uiNameArray += sizeof(DWORD);

uiNameOrdinals += sizeof(WORD);

}

}

if (pLoadLibraryA && pGetProcAddress && pVirtualAlloc && pNtFlushInstructionCache)

break;

uiValueA = DEREF(uiValueA);

}

/*

加载shellcode

*/

PVOID dwStrings = pVirtualAlloc(NULL, 12, MEM_RESERVE | MEM_COMMIT, PAGE_READWRITE);

*(DWORD64*)((PCHAR)dwStrings + 0x0) = 0x64616552;

*(DWORD64*)((PCHAR)dwStrings + 0X4) = 0x656c6946;

pReadFile = (ReadFileT)pGetProcAddress((HMODULE)Kernel32Base, (LPCSTR)dwStrings);

*(DWORD64*)((PCHAR)dwStrings + 0x0) = 0x61657243;

*(DWORD64*)((PCHAR)dwStrings + 0X4) = 0x69466574;

*(DWORD64*)((PCHAR)dwStrings + 0X8) = 0x41656c;

pCreateFile = (CreateFileAT)pGetProcAddress((HMODULE)Kernel32Base, (LPCSTR)dwStrings);

*(DWORD64*)((PCHAR)dwStrings + 0x0) = 0x46746547;

*(DWORD64*)((PCHAR)dwStrings + 0X4) = 0x53656c69;

*(DWORD64*)((PCHAR)dwStrings + 0X8) = 0x657a69;

pGetFileSize = (GetFileSizeT)pGetProcAddress((HMODULE)Kernel32Base, (LPCSTR)dwStrings);

*(DWORD64*)((PCHAR)dwStrings + 0x0) = 0x736f6c43;

*(DWORD64*)((PCHAR)dwStrings + 0X4) = 0x6e614865;

*(DWORD64*)((PCHAR)dwStrings + 0X8) = 0x656c64;

pCloseHandle = (CloseHandleT)pGetProcAddress((HMODULE)Kernel32Base, (LPCSTR)dwStrings);

/*

C:\\test.dll

433a2f74 6573742e 646c6c

change your self

*/

*(DWORD64*)((PCHAR)dwStrings + 0x0) = 0x742f3a43;

*(DWORD64*)((PCHAR)dwStrings + 0X4) = 0x2e747365;

*(DWORD64*)((PCHAR)dwStrings + 0X8) = 0x6c6c64;

HANDLE hFile = pCreateFile((LPCSTR)dwStrings, GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, 3, 0, NULL);

DWORD mSize = pGetFileSize(hFile, NULL);

ULONG_PTR uiLibraryAddress = (ULONG_PTR)pVirtualAlloc(NULL, mSize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

pReadFile(hFile, (LPVOID)uiLibraryAddress, mSize, NULL, NULL);

pCloseHandle(hFile);

uiHeaderValue = uiLibraryAddress + ((PIMAGE_DOS_HEADER)uiLibraryAddress)->e_lfanew;

uiHeaderValue = uiLibraryAddress + ((PIMAGE_DOS_HEADER)uiLibraryAddress)->e_lfanew;

uiBaseAddress = (ULONG_PTR)pVirtualAlloc(NULL, ((PIMAGE_NT_HEADERS)uiHeaderValue)->OptionalHeader.SizeOfImage, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);

uiValueA = ((PIMAGE_NT_HEADERS)uiHeaderValue)->OptionalHeader.SizeOfHeaders;

uiValueB = uiLibraryAddress;

uiValueC = uiBaseAddress;

while (uiValueA--)

*(BYTE*)uiValueC++ = *(BYTE*)uiValueB++;

uiValueA = ((ULONG_PTR) & ((PIMAGE_NT_HEADERS)uiHeaderValue)->OptionalHeader + ((PIMAGE_NT_HEADERS)uiHeaderValue)->FileHeader.SizeOfOptionalHeader);

uiValueE = ((PIMAGE_NT_HEADERS)uiHeaderValue)->FileHeader.NumberOfSections;

while (uiValueE--)

{

uiValueB = (uiBaseAddress + ((PIMAGE_SECTION_HEADER)uiValueA)->VirtualAddress);

uiValueC = (uiLibraryAddress + ((PIMAGE_SECTION_HEADER)uiValueA)->PointerToRawData);

uiValueD = ((PIMAGE_SECTION_HEADER)uiValueA)->SizeOfRawData;

while (uiValueD--)

*(BYTE*)uiValueB++ = *(BYTE*)uiValueC++;

uiValueA += sizeof(IMAGE_SECTION_HEADER);

}

uiValueB = (ULONG_PTR) & ((PIMAGE_NT_HEADERS)uiHeaderValue)->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_IMPORT];

uiValueC = (uiBaseAddress + ((PIMAGE_DATA_DIRECTORY)uiValueB)->VirtualAddress);

while (((PIMAGE_IMPORT_DESCRIPTOR)uiValueC)->Name)

{

uiLibraryAddress = (ULONG_PTR)pLoadLibraryA((LPCSTR)(uiBaseAddress + ((PIMAGE_IMPORT_DESCRIPTOR)uiValueC)->Name));

uiValueD = (uiBaseAddress + ((PIMAGE_IMPORT_DESCRIPTOR)uiValueC)->OriginalFirstThunk);

uiValueA = (uiBaseAddress + ((PIMAGE_IMPORT_DESCRIPTOR)uiValueC)->FirstThunk);

while (DEREF(uiValueA))

{

if (uiValueD && ((PIMAGE_THUNK_DATA)uiValueD)->u1.Ordinal & IMAGE_ORDINAL_FLAG)

{

uiExportDir = uiLibraryAddress + ((PIMAGE_DOS_HEADER)uiLibraryAddress)->e_lfanew;

uiNameArray = (ULONG_PTR) & ((PIMAGE_NT_HEADERS)uiExportDir)->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT];

uiExportDir = (uiLibraryAddress + ((PIMAGE_DATA_DIRECTORY)uiNameArray)->VirtualAddress);

uiAddressArray = (uiLibraryAddress + ((PIMAGE_EXPORT_DIRECTORY)uiExportDir)->AddressOfFunctions);

uiAddressArray += ((IMAGE_ORDINAL(((PIMAGE_THUNK_DATA)uiValueD)->u1.Ordinal) - ((PIMAGE_EXPORT_DIRECTORY)uiExportDir)->Base) * sizeof(DWORD));

DEREF(uiValueA) = (uiLibraryAddress + DEREF_32(uiAddressArray));

}

else

{

uiValueB = (uiBaseAddress + DEREF(uiValueA));

DEREF(uiValueA) = (ULONG_PTR)pGetProcAddress((HMODULE)uiLibraryAddress, (LPCSTR)((PIMAGE_IMPORT_BY_NAME)uiValueB)->Name);

}

uiValueA += sizeof(ULONG_PTR);

if (uiValueD)

uiValueD += sizeof(ULONG_PTR);

}

uiValueC += sizeof(IMAGE_IMPORT_DESCRIPTOR);

}

uiLibraryAddress = uiBaseAddress - ((PIMAGE_NT_HEADERS)uiHeaderValue)->OptionalHeader.ImageBase;

uiValueB = (ULONG_PTR) & ((PIMAGE_NT_HEADERS)uiHeaderValue)->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC];

if (((PIMAGE_DATA_DIRECTORY)uiValueB)->Size)

{

uiValueC = (uiBaseAddress + ((PIMAGE_DATA_DIRECTORY)uiValueB)->VirtualAddress);

while (((PIMAGE_BASE_RELOCATION)uiValueC)->SizeOfBlock)

{

uiValueA = (uiBaseAddress + ((PIMAGE_BASE_RELOCATION)uiValueC)->VirtualAddress);

uiValueB = (((PIMAGE_BASE_RELOCATION)uiValueC)->SizeOfBlock - sizeof(IMAGE_BASE_RELOCATION)) / sizeof(IMAGE_RELOC);

uiValueD = uiValueC + sizeof(IMAGE_BASE_RELOCATION);

while (uiValueB--)

{

if (((PIMAGE_RELOC)uiValueD)->type == IMAGE_REL_BASED_DIR64)

*(ULONG_PTR*)(uiValueA + ((PIMAGE_RELOC)uiValueD)->offset) += uiLibraryAddress;

else if (((PIMAGE_RELOC)uiValueD)->type == IMAGE_REL_BASED_HIGHLOW)

*(DWORD*)(uiValueA + ((PIMAGE_RELOC)uiValueD)->offset) += (DWORD)uiLibraryAddress;

else if (((PIMAGE_RELOC)uiValueD)->type == IMAGE_REL_BASED_HIGH)

*(WORD*)(uiValueA + ((PIMAGE_RELOC)uiValueD)->offset) += HIWORD(uiLibraryAddress);

else if (((PIMAGE_RELOC)uiValueD)->type == IMAGE_REL_BASED_LOW)

*(WORD*)(uiValueA + ((PIMAGE_RELOC)uiValueD)->offset) += LOWORD(uiLibraryAddress);

uiValueD += sizeof(IMAGE_RELOC);

}

uiValueC = uiValueC + ((PIMAGE_BASE_RELOCATION)uiValueC)->SizeOfBlock;

}

}

uiValueA = (uiBaseAddress + ((PIMAGE_NT_HEADERS)uiHeaderValue)->OptionalHeader.AddressOfEntryPoint);

pNtFlushInstructionCache((HANDLE)-1, NULL, 0);

((DLLMAIN)uiValueA)((HINSTANCE)uiBaseAddress, DLL_PROCESS_ATTACH, NULL);

}

int RemoteLoadEnd()

{

return 0x77132;

}

```

云锋金融
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
eac 调试_一种可能被用于EAC保护的检测调试器方案
weixin_39727976的博客
12-19 2302
测试环境:Windows7 x64 虚拟机 win10 1809 x64 虚拟机0x0起因小伙伴 @DBDig 最近也在玩APEX这个游戏,因为这个游戏有EAC保护所以有调试,遂准备安排它。R3降权pass以后,下断没应还又卡死又崩溃的。于是他自写了一个exe来模拟调试器的行为,万万没想到,EAC竟然对我们的exe做了这种事!他居然hook了我们的 WaitForDebugEvent这个函数...
调试器揭密
华章IT官方博客
06-09 6117
Normal 0 7.8 磅 0 2 false false false EN-US ZH-CN X-NONE
调试调试
ahoo110的博客
05-24 780
http://www.52pojie.cn/thread-271854-1-1.html
EAC作弊绕过工具源代码_NP_dbd绕过eac_绕过np_绕过eac_np作弊_
10-01
作弊绕过工具.可以绕过np等大部分作弊工具
简单绕过EAC作弊检测分析【1】
WorryFree
05-02 1万+
EAC 是一个内核作弊 “系统”,它可以检测任何东西。 想要欺骗它,你必须先加载一个内核驱动程序,然后才能防止它。
eac 调试_自己动手制作一个过保护调试
weixin_39847034的博客
12-19 1789
原标题:自己动手制作一个过保护调试器一、起因本人是新手第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层。做调试器必须要hook api去隐藏调试器的参数,所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到 ETW(Event Tracing for Windows) hook...
《深入理解C指针》——认识指针
小小博客
05-01 3742
关于指针的一些基本概念 作用域 生命周期 全局内存 整个文件 应用程序的生命周期 静态内存 声明它的函数内部 应用程序的生命周期 自动内存(局部内存) 声明它的函数内部 限制在函数执行时间内 动态内存 由引用该内存的指针决定 知道内存释放 理解这些内存类型可以更好地理解指针。大部分指针用来操作内存中的数据,因此理解内存的分区和组织方式有助于我们弄清楚指针如何操作内存。 为什么要精通指针 指针有几种用途,包括: 写出快速高效的代码; 为解决很多类问题提
简单说一下 Steam平台 常用游戏的EAC调试保护 WIN7X64
热门推荐
落笔飞花笑百生的博客
05-09 1万+
内核层:3个内核线程用于不停的恢复THREAD PROCESS-CALLBACK 直接1字节anti会开启不了驱动 这里比以前的TP好点儿               CALLBACK里面抹去了句柄的读写内存权限 导致OD看不见进程 CE搜不了内存              附加 三个驱动里面改了线程暂停位的附加线程 导致OD附加 游戏直接消失 还有僵尸进程
射式dll注入
摔不死的笨鸟的博客
08-27 6505
前不久实现了经典dll注入exe,实现注入到用户层面进程,比如notepad.exe和wps.exe。(像金山毒霸kxetray.exe有自我保护机制也注入不进去)。由于对会话隔离注入不太了解,怕搞坏主机,没有再去实现注入到系统进程中。最近在网上看到dll射注入,想把学习总结的笔记给大家分享一下。 首先什么是射式注入?它和传统经典注入有什么区别呢?我这里作个比喻。 经典式: 在别人的内存里调用...
APEX-EACBypass:APEX-EACBypass(用户模式)
03-17
APEX-EAC绕过 用法: 编译出来重命名为“ EasyAntiCheat_launcher.exe”替换到游戏目录下,用橘子平台启动游戏 关于心跳 写个空的dll命名为“ EasyAntiCheat_x64.dll”替换到游戏目录下用你自己的方式加载到游戏里如果以后加强了怎么办?下,应该是断在检测到EAC未运行那个画面,执行到用户代码,发现是“ binkawin64.dll”这个模块的线程,然后,看是程序哪里起的这个线程,一层回溯上去。办法:柿子挑软的捏,那些同时使用UE和EAC的游戏,大部分裤子都被扒干净了,找到他们的SDK,其中引用EAC SDK的部分,看一看EAC的SDK整体的结构是怎么样的,大概有什么函数,dump下进程来看看汇编的样子,然后可以在APEX里面找找看。不过这个游戏是起源改,不久后难逃被扒光的命运,毕竟起源引擎“约等于巧”办法2:游戏没加壳,拿起他的EAC键就跑
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试
weixin_39908263的博客
11-26 1052
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hook 去Hook api 实现隐藏参数...
(16)[系统调用]追踪系统调用(3环)
qq_50332504的博客
07-24 673
简单地进行WriteProcessMemory进行追踪,看看这个函数到底是怎么样运作的,结果真是......
Windows NT内核函数大全
qq_42577465的博客
06-06 1584
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
Windows API 每日一练之 FlushInstructionCache
weixin_30335353的博客
07-16 444
FlushInstructionCache 在 MSDN 中解释说是 flush 指定进程的指令缓存。其声明如下所示:BOOL WINAPI FlushInstructionCache( HANDLE hProcess, LPCVOID lpBaseAddress, SIZE_T dwSize ); MSDN 中说,如果应用程序生成或更改了内存中的代码那么就应该调用此函数。这...
Windows 与 Linux 下的 PAGE_ALIGN 页面对齐宏引发的 BUG
Sprite雪碧
09-18 442
今天遇到了一个BUG,找了半天才定位到是 PAGE_ALIGN 宏导致的。 这个宏在 Windows 上和 Linux 上的定义不同,才得以引发了这次BUG的发生。 PAGE_ALIGN 的用处是对齐一个页面地址。 先来看看定义: // Windows #define PAGE_ALIGN(Va) ((PVOID)((ULONG_PTR)(Va) & ~(PAGE...
steam数据模型简易记录
joefany的博客
03-05 1156
steam上的路径:http://store.steampowered.com1.独立游戏和dlc   , 所在路径:app/2.捆绑包,所在路径:bundle注意:独立游戏和dlc      与    捆绑包 的编号相互不唯一...
OD调试
u011513939的博客
06-30 1050
OD调试资料
Windows 下常见的调试方法
r250414958的博客
11-15 1163
稍稍总结一下在Crack或Rervese中比较常见的一些调试方法,实现起来也比较简单,之后有写的Demo源码参考,没有太大的难度。 ①最简单也是最基础的,Windows提供的API接口: IsDebuggerPresent(),这API实际上就是访问PEB的BeingDebugged标志来判断是否处于调试状态。 if (IsDebuggerPresent()) //API接口 { ...
<div data-v-d1111eac="" class="sp-item" label="日期选择" span="8" style="width: 100%;"><!----><input type="text" autocomplete="off" name="" placeholder="请选择日期选择" class="el-input__inner"><span class="el-input__prefix"><i class="el-input__icon el-icon-date"></i><!----></span><span class="el-input__suffix"><span class="el-input__suffix-inner"><i class="el-input__icon"></i><!----><!----><!----><!----></span><!----></span><!----><!----></div> 使用css根据el-icon-date选择到的el-input__inner
最新发布
05-31
可以使用以下 CSS 选择器来实现: ``` .el-icon-date + .el-input__inner { /* 样式 */ } ``` 这个选择器使用了 “加号” (+) 来选择前面有 `.el-icon-date` 类的元素后面的紧邻的 `.el-input__inner` 类元素。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值