监控自身进程指定内存块是否被读写(防CE)

最新推荐文章于 2023-06-24 13:46:34 发布
最新推荐文章于 2023-06-24 13:46:34 发布
阅读量6.4k 收藏 8
点赞数
分类专栏: C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yoie01/article/details/80524412
版权

无意当中看到的一种监控读写的方法,写了个DEMO留档

// WsWatch.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <Psapi.h>
#pragma comment(lib, "psapi.lib")
#ifndef PAGE_SIZE
#define PAGE_SIZE 0x1000
#endif
#define NtCurrentProcess() ((HANDLE)-1)
#define PAGE_ALIGN(Va) ((PVOID)((ULONG_PTR)(Va) & ~(PAGE_SIZE - 1)))

#define INITIAL_RECORD_SIZE 1000

bool GetProcessDataFromThread(_In_ DWORD ThreadId, _Out_ DWORD& ProcessId, _Out_writes_z_(MAX_PATH) wchar_t ProcessPath[MAX_PATH])
{
	bool status = false;

	ProcessId = 0;
	ProcessPath[0] = NULL;
	HANDLE Thread = OpenThread(THREAD_QUERY_LIMITED_INFORMATION, FALSE, ThreadId);
	if (Thread)
	{
		ProcessId = GetProcessIdOfThread(Thread);
		if (ProcessId)
		{
			HANDLE Process = OpenProcess(PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, FALSE, ProcessId);
			if (Process)
			{
				status = (GetModuleFileNameExW(Process, NULL, ProcessPath, MAX_PATH) != 0);
				CloseHandle(Process);
			}
		}
		CloseHandle(Thread);
	}
	return status;
}


int check_ce()
{
	int status = -1;

	PBYTE AllocatedBuffer = NULL;
	PPSAPI_WS_WATCH_INFORMATION_EX WatchInfoEx = NULL;

	const DWORD CurrentProcessId = GetCurrentProcessId();
	printf("[+] PID: %lu\n", CurrentProcessId);


#if defined(_M_IX86)
	// Can't run on Wow64 (32-bit on 64-bit OS).
	BOOL Wow64Process = FALSE;
	if (IsWow64Process(NtCurrentProcess(), &Wow64Process) && Wow64Process)
	{
		fprintf(stderr, "[-] ERROR: This process cannot be run under Wow64.\n");
		goto Cleanup;
	}
#endif

	// Initiate monitoring of the working set for this process.
	if (!InitializeProcessForWsWatch(NtCurrentProcess()))
	{
		fprintf(stderr, "[-] ERROR: Failed to initialize process for working set watch. InitializeProcessForWsWatch failed with error: %lu.\n", GetLastError());
		goto Cleanup;
	}
	AllocatedBuffer = (PBYTE)VirtualAlloc(NULL, PAGE_SIZE, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
	if (!AllocatedBuffer)
	{
		fprintf(stderr, "[-] ERROR: Failed to allocate %u bytes for page faulting test buffer.\n", PAGE_SIZE);
		goto Cleanup;
	}

	printf("[+] Allocated buffer at 0x%p.\n", AllocatedBuffer);

	DWORD WatchInfoSize = (sizeof(PSAPI_WS_WATCH_INFORMATION_EX) * INITIAL_RECORD_SIZE);
	WatchInfoEx = (PPSAPI_WS_WATCH_INFORMATION_EX)malloc(WatchInfoSize);
	if (!WatchInfoEx)
	{
		fprintf(stderr, "[-] ERROR: Failed to allocate %lu bytes.\n", WatchInfoSize);
		goto Cleanup;
	}

	while (TRUE)
	{
		memset(WatchInfoEx, 0, WatchInfoSize);

		if (!GetWsChangesEx(NtCurrentProcess(), WatchInfoEx, &WatchInfoSize))
		{
			DWORD ErrorCode = GetLastError();

			// This really isn't an error. This just means that no new pages
			// have been mapped into our process' VA since the last time
			// we called GetWsChangesEx.
			if (ErrorCode == ERROR_NO_MORE_ITEMS)
			{
				// Wait a little bit before trying again.
				Sleep(1);
				continue;
			}

			// Any other error code is bad.
			if (ErrorCode != ERROR_INSUFFICIENT_BUFFER)
			{
				fprintf(stderr, "[-] ERROR: GetWsChangesEx failed with error: %lu.\n", ErrorCode);
				goto Cleanup;
			}

			// If we get this far, we need to increase the buffer size. 
			WatchInfoSize *= 2;

			free(WatchInfoEx);
			WatchInfoEx = (PPSAPI_WS_WATCH_INFORMATION_EX)malloc(WatchInfoSize);

			if (!WatchInfoEx)
			{
				fprintf(stderr, "[-] ERROR: Failed to allocate %lu bytes.\n", WatchInfoSize);
				goto Cleanup;
			}

			continue;
		}

		bool bFound = false;
		for (size_t i = 0;; ++i)
		{
			PPSAPI_WS_WATCH_INFORMATION_EX info = &WatchInfoEx[i];


			if (info->BasicInfo.FaultingPc == NULL)
				break;

			PVOID FaultingPageVa = PAGE_ALIGN(info->BasicInfo.FaultingVa);
			if (FaultingPageVa == AllocatedBuffer)
			{
				printf("[+] 0x%p (0x%p) was mapped by 0x%p (TID: %lu).\n", FaultingPageVa, info->BasicInfo.FaultingVa, info->BasicInfo.FaultingPc, (DWORD)info->FaultingThreadId);

				DWORD ProcessId;
				wchar_t ProcessPath[MAX_PATH];

				if (GetProcessDataFromThread((DWORD)info->FaultingThreadId, ProcessId, ProcessPath))
					printf("\t--> %S (PID: %lu).\n", ProcessPath, ProcessId);


				bFound = true;
				break;
			}
		}

		if (bFound)
		{
			status = 1;
			break;
		}
	}

Cleanup:
	// 'free' the 'malloc's.
	if (WatchInfoEx)
	{
		free(WatchInfoEx);
		WatchInfoEx = NULL;
	}

	if (AllocatedBuffer)
	{
		VirtualFree(AllocatedBuffer, 0, MEM_RELEASE);
		AllocatedBuffer = NULL;
	}

	return status;
}

int main()
{
	printf("Base = %llX\r\n",(UINT64)GetModuleHandle("WsWatch.exe"));
	while (1) {
		if (check_ce() > 0) printf("Find CE\r\n");
		Sleep(100);
	}
    return 0;
}

Yoie
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
深入理解内存读写检测机制
qq_30275375的博客
03-20 8355
内存的检测这里就不多做介绍了,这篇文章主要介绍读内存的检测。 声明:本人业余研究游戏检测纯属兴趣爱好,请勿用于非法用途。否则后果自行承担。 首先读内存在Linux、安卓上是可以被检测的。要读懂下面的内容的话可能要先了解一下缺页中断,有关缺页中断的知识可以自己百度搜。 一、检测原理 事先声明一段内存(自己永远不去读),然后随机插入到正常内存中,利用mincore函数不断检测这段内存是否在物理内存中。如果在物理内存中,则说明有人非法读取了我们的内存。因为这段内存我们自己没有读过,它不应该出现在物理内存中。 二
CE或OD内存扫描/读取/修改-易语言
06-14
参考https://blog.csdn.net/yoie01/article/details/80524412 API声明https://docs.microsoft.com/zh-cn/windows/win32/api/psapi/nf-psapi-getwschangesex?redirectedfrom=MSDN
32位/64位WINDOWS驱动之保护指定进程PID(拒绝CE,X64dug,OD等工具读写)
a756598009的博客
06-24 764
给编辑框添加变量 类别 值 变量类型 改成UINT32 名称m_PID 完成。把RegistrationContext;在进入派遣函数中增加两个控制开关。进程保护.c里面 注释目标进程名。剪切到判断受保护下面 并修改为。搜索不到数值,打开内存也没有数据。x64dubug附加进程直接结束。来到添加保护进程按钮控制事件。来到移除保护进程按钮控制事件。读写控制后面添加两个函数。进程名标签改为进程PID。
内存的非法读写操作的检查
weixin_34061555的博客
09-17 364
  valgrind什么的就不说了   AddressSanitizer 除了heap,stack的也可以 https://en.wikipedia.org/wiki/AddressSanitizer#Stack-buffer-overflow http://developerblog.redhat.com/2014/12/02/address-and-thread-sanitizer...
读写锁与进程守护
xuruhua的博客
04-21 361
 一、读写锁:一种交易场所:变量、数组、链表等其他数据结构两种角色:读者、写者三种关系:读者和写者之间没有关系;写者与写者之间互斥;读者与写者之间同步和互斥关系读者与读者之间共享,读者与写者之间必须等一方解锁,另一方才能加锁;读者与写者线程同时竞争锁,写者会优先获取到锁1.案例:代码:# include&lt;stdio.h&gt;# include&lt;stdlib.h&gt;# includ...
止被进程附加调试
Crescens
11-22 2572
/**********************止被进程附加调试*******************************/ bool AntiAttach() {       HMODULE ntdll; // ntdll handle        void* pDbgUiRemoteBreakin; // function handle        DWOR
内存读写支持库开源 x64进程特征码搜索及完善的内存读写-易语言
06-13
这个开源项目,"x64进程特征码搜索及完善的内存读写-易语言",正是为了解决在不同操作系统环境下,尤其是x64架构下,高效且安全地进行内存读写的问题。 首先,让我们理解一下x64进程。x64指的是基于AMD64或Intel 64...
CE内存修改器 CE内存修改器
08-08
CE内存修改器,全称Cheat Engine,是一款广泛应用于游戏修改的开源工具,它允许用户在Windows操作系统下对游戏内存进行读写操作,以实现修改游戏数据、作弊或进行调试的目的。这款软件由Dave Hooper开发,最初是为了...
ce内存地址修改
01-30
6. **附加脚本**:高级用户还可以利用CE的内置脚本语言编写自定义脚本来自动监控和修改内存地址,提高效率。 三、注意事项与安全风险 1. **安全警告**:使用CE修改内存可能违反游戏服务条款,可能导致账号被封禁。...
易语言编写自已CE内存修改器 源码
03-20
5. CE接口集成:尽管易语言自身可能不直接支持CE的所有功能,但可以通过调用CE的动态链接库(DLL)来实现接口集成,例如使用CE内存扫描API。 6. 错误处理:学习如何在易语言中编写健壮的代码,处理可能出现的错误...
Perfmon.zip_Windows_CE_Visual_C++_
08-11
2. **监控内存使用**:跟踪内存分配和释放,确保程序没有内存泄漏,同时优化内存管理。 3. **检查磁盘I/O**:了解磁盘读写活动,可能需要优化数据库访问或其他磁盘密集型操作。 4. **评估网络性能**:在进行网络通信...
独立团CE工具
04-08
用户可以通过简单的界面输入想要查找的数值,然后CE会遍历指定进程内存空间,找到匹配的地址。此外,CE还提供了条件扫描功能,比如可以设置数值变化后的扫描,这在追踪动态变化的内存值时非常有用。 "独立团VIP...
wince进程保护
05-30
2. **系统调用拦截**:通过hook系统调用来监控进程间的交互,一旦发现有害行为,就可以阻止或修改调用。 3. **内存保护**:设置进程内存页的访问权限,止未经授权的读写操作。 4. **注册表保护**:止恶意程序...
cheat-engine-7.1.zip
04-26
2. **内存操作**:Cheat Engine的核心功能是内存扫描和修改,源码中会包含内存读写函数,如`ReadProcessMemory`和`WriteProcessMemory`,这些都是Windows API的一部分,用于在进程间通信和内存操作。 3. **数据结构...
wince 中的寄存器读写程序
12-17
3. **内存性能监控**:监测内存读写速度,评估系统的内存性能。 4. **内存分配与释放**:协助开发者管理应用程序内存分配,内存泄漏。 在使用MEMMgr.exe时,应注意安全性和稳定性,错误的寄存器操作可能...
进程和线程保护
qq_41490873的博客
01-30 447
#include <ntifs.h> #include<ntddk.h> #define PROCESS_TERMINATE 0x1 HANDLE ObHandle; NTKERNELAPI PUCHAR PsGetProcessImageFileName( IN PEPROCESS Process ); typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemo
[检测&过检测] 重写 ReadProcessMemory 、WriteProcessMemory
LYSM
07-12 2140
一、本文大纲 系统调用的两种方式:中断门和快速调用 _KUSER_SHARED_DATA 结构 使用 cpuid 指令判断当前CPU是否支持快速调用 3环进0环需要更改的4个寄存器 以 ReadProcessMemory 为例说明系统调用全过程 重写 ReadProcessMemory 和 WriteProcessMemory int 0x2e 和 sysenter 都做了什么工作? 二、中断门和快速调用 以我的理解,系统调用,即从调用操作系统提供的3环API开始,到进0环,再到返回结果到3环的全过程
Windows进程状态API之Ps API
symmcyp的博客
01-20 1811
windows的进程状态信息函数主要分为两类,一类是PS(PROCESS STATUS HELPER) API,另外一类是Th(TOOL HELP) API。 本文介绍PS API。 Ps API 函数列表及其功能说明: 使用Ps API需要包含psapi.h文件以及psapi.lib EmptyWorkingSet 从执行的工作集中尽可能的多删除页(page),内存
C# Winform应用程序占用内存较大解决方法整理(转)-- SetProcessWorkingSetSize
sinat_15155817的专栏
11-16 7185
一、C# Winform应用程序占用内存较大解决方法整理(转) 原文:  http://www.jb51.net/article/56682.htm 背景: 微软的 .NET FRAMEWORK 现在可谓如火如荼了。但是,.NET 一直所为人诟病的就是“胃口太大”,狂吃内存,虽然微软声称 GC 的功能和智能化都很高,但是内存的回收问题,一直存在困扰,尤其是 winform 程序,其主要原因
共享内存能同时被多个进程访问吗
最新发布
07-11
是的,共享内存可以被多个进程同时访问。共享内存是一种机制,允许多个进程在它们的虚拟地址空间中映射同一物理内存区域。这样,这些进程可以通过读写共享内存来实现进程间的通信和数据共享。 共享内存的优势是它可以提供高效的数据传输,因为进程可以直接访问共享内存而无需进行数据拷贝。多个进程可以通过共享内存来传递大量的数据,而不会引入额外的开销。 需要注意的是,由于多个进程可以同时访问共享内存,因此需要进行适当的同步和互斥操作,以避免数据竞争和不一致性。常见的同步机制包括使用信号量、互斥锁、条件变量等来确保对共享内存的访问是有序和安全的。 另外,使用共享内存时需要小心处理,因为错误的使用可能导致数据损坏或安全问题。因此,在使用共享内存时要仔细考虑进程间同步和互斥机制,并确保正确地管理共享内存的生命周期。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值