[求助]关于TP的内存特征检测技术-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]关于TP的内存特征检测技术

发表于: 2016-5-2 02:14 26458

[求助]关于TP的内存特征检测技术

lovenikola 活跃值

2016-5-2 02:14

26458

tcj.dll 会扫描进程内所有内存数据(肯定还有其他线程再扫但目前只知道这个)
每次出一个版本过不了多久就会被检测

求助大婶指点一下
加DTProtect这个动态变形壳能否绕过这个检测呢？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・12

免费・0

支持

最新回复 (42) 1 2 ▶
萌克力雪币： 433 活跃值： (2130) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 613 粉丝 33 关注私信	萌克力 2 楼 DT不能单纯只检查特征的话尝试内存载入和zwq还有ntreadmemory 如果真的只是特征可以这样过！还有你确定exe没问题吗？ 2016-5-2 03:44 0
kuty 雪币： 66 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	kuty 3 楼关注一下 2016-5-2 11:18 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 4 楼是DLL哦 EXE注入后就关闭了 2016-5-2 14:01 0
xed 雪币： 129 活跃值： (358) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 215 粉丝 3 关注私信	xed 5 楼每天出一个版本。比TX员工更勤快就行了。 2016-5-2 14:19 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 6 楼搭建一个服务器自动编译自动加壳确保每台机器都不同应该可以吧 2016-5-2 14:36 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 7 楼呵呵。楼主真是牛呀 2016-5-2 17:34 0
萌克力雪币： 433 活跃值： (2130) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 613 粉丝 33 关注私信	萌克力 8 楼你为什么觉得exe注入后关闭就没关系了？。。。 2016-5-2 18:16 0
游乐娃子雪币： 8456 活跃值： (6378) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 64 关注私信	游乐娃子 9 楼 . ^_^ 2016-5-2 18:51 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 10 楼因为EXE一直开着不注入就没事呢 2016-5-2 21:51 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 11 楼 -.-这个检测很奇怪有的时候有些机器出第三方有些机器不出有时候全部机器都出重新编译改一下壳的设置就好了 2016-5-2 21:54 0
Remoter 雪币： 86 活跃值： (70) 能力值： (RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	Remoter 12 楼 .... 2016-5-3 12:17 0
天堂猪雪币： 177 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	天堂猪 13 楼看雪已经沦为挂壁论坛了吗 2016-5-4 17:40 0
raincrack 雪币： 26 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 1 关注私信	raincrack 14 楼外挂也是逆向的一种！腾讯自己都有游戏安全实验室！各种外挂技术研究！没有竞争就没有进步！！ 2016-5-5 12:58 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 15 楼这位人兄说的好像做辅助就不算是技能，看雪是探讨技能的地方吧，这话说的好像自己多高大尚似的???技能无界限懂不 2016-5-5 20:18 0
MaMy 雪币： 12 活跃值： (438) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 16 楼无解,ls已经有人说了，每天都更新N+1次 ,n>tx非法次数即可 dxf当年就是,tx 人工一天拉黑2-3次,上午提取特征,下午挂就更新. 这个是体力活.. 2016-5-6 08:20 0
ruoe 雪币： 13 活跃值： (26) 能力值： (RANK：10 ) 在线值：发帖 68 回帖 219 粉丝 1 关注私信	ruoe 17 楼关于exe文件的检测 1.readfile 2.readmeory （这个主要通过PEB枚举模块） 3.pe头关于DLL文件的解决 1.pe头 2.暴力搜索内存通杀DLL的解决方法: 用云端DLL，每半天更新一次特征，在编译代码的时候加入垃圾指令，这样下次编译就会发生很大变动通杀EXE的解决方法：别用易语言，openfile movefile 2016-5-7 17:34 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 18 楼坦白说只要你的模块加载到进程内存空间就有可能查到你的模块，至于方法你们自己捉摸哈哈~！我想大牛们心中自然心中有数的。 2016-5-7 22:28 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 19 楼检测壳的特征每次换一个壳放出去被查后下次再用这个壳并且加壳配置变化不大还是会立马被查插入花指令的方法还没试有这个打算但问题是静态库的特征不好处理 2016-5-8 15:21 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 20 楼不是有可能是百分百查的那怕是你仅仅向游戏进程申请了一段内存那段内存它也会扫 2016-5-8 15:23 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 21 楼这是一个解决方案但目前我还没找到有效的重新编译加壳后能短暂绕过的除非换一个我之前没有用过的壳问题就在这被查后下次几乎又得换壳在找到有效的能短暂避免被检测的（至少也得能挺小半天吧）之前也只能手动处理(没法玩啊-。-) 2016-5-8 15:27 0
眼镜雪币： 198 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 73 粉丝 1 关注私信	眼镜 22 楼 TP客户端就是个大木马防不胜防...还是对付NP的办法对付TP就可以了.他扫描速度不是无限快, 扫过来的时候告之一切正常.扫过之后再改过来... 还有种100%解决的办法.就是版本不泄露...不公开...自摸... 重庆哥们写了款DXF外挂,好多年了0封号...依然奔放...~不过写了驱动保护外挂~20台机器单开...全部满级号...羡慕嫉妒恨~ 2016-5-8 22:47 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 23 楼看谁套路玩得深了，搞个垃圾的标本让他不断的提取上传，累死服务器 2016-5-8 23:09 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 24 楼检测特征的是哪个线程还没找到 -。- 只找到扫描内存采集特征的线程 2016-5-9 01:21 0
Anuonuo 雪币： 150 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 68 粉丝 1 关注私信	Anuonuo 25 楼靠猜是解决不了问题的，直接逆向VMP代码吧，不要老在外围打转 2016-5-10 10:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

lovenikola

发帖

回帖

RANK

关注

私信

他的文章

[求助]关于TP的内存特征检测技术 26459
[讨论]tP anti硬件断点 8857

关于我们

联系我们

企业服务

看雪公众号

最新回复 (42) 1 2 ▶
萌克力雪币： 433 活跃值： (2130) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 613 粉丝 33 关注私信	萌克力 2 楼 DT不能单纯只检查特征的话尝试内存载入和zwq还有ntreadmemory 如果真的只是特征可以这样过！还有你确定exe没问题吗？ 2016-5-2 03:44 0
kuty 雪币： 66 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	kuty 3 楼关注一下 2016-5-2 11:18 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 4 楼是DLL哦 EXE注入后就关闭了 2016-5-2 14:01 0
xed 雪币： 129 活跃值： (358) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 215 粉丝 3 关注私信	xed 5 楼每天出一个版本。比TX员工更勤快就行了。 2016-5-2 14:19 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 6 楼搭建一个服务器自动编译自动加壳确保每台机器都不同应该可以吧 2016-5-2 14:36 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 7 楼呵呵。楼主真是牛呀 2016-5-2 17:34 0
萌克力雪币： 433 活跃值： (2130) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 613 粉丝 33 关注私信	萌克力 8 楼你为什么觉得exe注入后关闭就没关系了？。。。 2016-5-2 18:16 0
游乐娃子雪币： 8456 活跃值： (6378) 能力值： ( LV4，RANK：50 ) 在线值：发帖 36 回帖 252 粉丝 64 关注私信	游乐娃子 9 楼 . ^_^ 2016-5-2 18:51 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 10 楼因为EXE一直开着不注入就没事呢 2016-5-2 21:51 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 11 楼 -.-这个检测很奇怪有的时候有些机器出第三方有些机器不出有时候全部机器都出重新编译改一下壳的设置就好了 2016-5-2 21:54 0
Remoter 雪币： 86 活跃值： (70) 能力值： (RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	Remoter 12 楼 .... 2016-5-3 12:17 0
天堂猪雪币： 177 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	天堂猪 13 楼看雪已经沦为挂壁论坛了吗 2016-5-4 17:40 0
raincrack 雪币： 26 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 66 粉丝 1 关注私信	raincrack 14 楼外挂也是逆向的一种！腾讯自己都有游戏安全实验室！各种外挂技术研究！没有竞争就没有进步！！ 2016-5-5 12:58 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 15 楼这位人兄说的好像做辅助就不算是技能，看雪是探讨技能的地方吧，这话说的好像自己多高大尚似的???技能无界限懂不 2016-5-5 20:18 0
MaMy 雪币： 12 活跃值： (438) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 16 楼无解,ls已经有人说了，每天都更新N+1次 ,n>tx非法次数即可 dxf当年就是,tx 人工一天拉黑2-3次,上午提取特征,下午挂就更新. 这个是体力活.. 2016-5-6 08:20 0
ruoe 雪币： 13 活跃值： (26) 能力值： (RANK：10 ) 在线值：发帖 68 回帖 219 粉丝 1 关注私信	ruoe 17 楼关于exe文件的检测 1.readfile 2.readmeory （这个主要通过PEB枚举模块） 3.pe头关于DLL文件的解决 1.pe头 2.暴力搜索内存通杀DLL的解决方法: 用云端DLL，每半天更新一次特征，在编译代码的时候加入垃圾指令，这样下次编译就会发生很大变动通杀EXE的解决方法：别用易语言，openfile movefile 2016-5-7 17:34 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 18 楼坦白说只要你的模块加载到进程内存空间就有可能查到你的模块，至于方法你们自己捉摸哈哈~！我想大牛们心中自然心中有数的。 2016-5-7 22:28 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 19 楼检测壳的特征每次换一个壳放出去被查后下次再用这个壳并且加壳配置变化不大还是会立马被查插入花指令的方法还没试有这个打算但问题是静态库的特征不好处理 2016-5-8 15:21 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 20 楼不是有可能是百分百查的那怕是你仅仅向游戏进程申请了一段内存那段内存它也会扫 2016-5-8 15:23 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 21 楼这是一个解决方案但目前我还没找到有效的重新编译加壳后能短暂绕过的除非换一个我之前没有用过的壳问题就在这被查后下次几乎又得换壳在找到有效的能短暂避免被检测的（至少也得能挺小半天吧）之前也只能手动处理(没法玩啊-。-) 2016-5-8 15:27 0
眼镜雪币： 198 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 73 粉丝 1 关注私信	眼镜 22 楼 TP客户端就是个大木马防不胜防...还是对付NP的办法对付TP就可以了.他扫描速度不是无限快, 扫过来的时候告之一切正常.扫过之后再改过来... 还有种100%解决的办法.就是版本不泄露...不公开...自摸... 重庆哥们写了款DXF外挂,好多年了0封号...依然奔放...~不过写了驱动保护外挂~20台机器单开...全部满级号...羡慕嫉妒恨~ 2016-5-8 22:47 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 23 楼看谁套路玩得深了，搞个垃圾的标本让他不断的提取上传，累死服务器 2016-5-8 23:09 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 24 楼检测特征的是哪个线程还没找到 -。- 只找到扫描内存采集特征的线程 2016-5-9 01:21 0
Anuonuo 雪币： 150 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 68 粉丝 1 关注私信	Anuonuo 25 楼靠猜是解决不了问题的，直接逆向VMP代码吧，不要老在外围打转 2016-5-10 10:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复