首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
一种利用VEH 实现得 内存隐藏(曾经几时得我,用CE 在Pubg分配内存的时候,总是???? 偶然有值。现在我总算知道为什么,应该是吧!!)
发表于: 2022-3-23 18:58 22028

一种利用VEH 实现得 内存隐藏(曾经几时得我,用CE 在Pubg分配内存的时候,总是???? 偶然有值。现在我总算知道为什么,应该是吧!!)

一夜酒狂 活跃值
2022-3-23 18:58
22028

思路来源 这个作者 太特么感激他了。我又学到了,不,又抄到了 好东西  4bcK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1j5I4y4o6l9I4x3e0V1&6x3U0j5J5i4K6u0r3e0h3g2E0L8%4u0&6g2X3W2J5N6s2g2S2L8r3W2*7j5i4c8A6L8$3^5`.


我的项目 都来源于他  我只改了一处地方  

my_loadLibrary 实现了 什么 你们自己看吧,懒得说。

1.项目主核心 是  VEH异常处理函数。

主题逻辑如下 1. 当一个线程 刚好执行到了 我们要隐藏的内存代码时,强制使其触发EXCEPTION_ACCESS_VIOLATION 异常,进入我们VEH处理函数。

2.当在VEH处理函数 处理好内存的C0000005异常后,迫使当前线程 再一次 触发异常,其主要目的是为了:重新隐藏内存。

擦!毕竟不是自己写的,只是二次加工。概况起来就是 利用 VEH 实现 内存的执行与读写分离。

还有一个我自己比较扎心的问题时,貌似解决pubg这个分配内存问题,只能hook ZwProtectVirtualMemory函数。


[培训]科锐逆向工程师培训第53期2025年7月8日开班!

收藏
免费 5
支持
分享
最新回复 (10)
kakasasa
雪    币: 577
活跃值: (2035)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
感谢分享 mark
2022-3-23 20:29
0
badboyl
雪    币: 4183
活跃值: (5943)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
私信
3
老作者了
2022-3-23 21:33
0
小希希
雪    币: 2280
活跃值: (4565)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
mark
2022-3-23 23:20
0
yaoyuanzhi
雪    币: 7
活跃值: (195)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
一下一单步,这个速度能扛住吗
2022-5-13 09:42
0
shuwoa
雪    币: 35
活跃值: (1806)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
真的扛不住
2022-6-13 15:13
0
yuechu
雪    币: 630
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
7
如果HOOK点与你异常处理函数在同一片内存会死掉。解决它!加油
2022-6-13 16:36
0
逆向爱好者
雪    币: 2276
活跃值: (5453)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
8
“当一个线程刚好执行到我们要隐藏的内存代码时”,内存属性是页管理不是字节管理。
2023-5-6 15:24
0
jwyyqd
雪    币: 0
活跃值: (60)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
虽然我 看不懂 但是还是要支持下
2023-8-14 00:18
0
秋狝
雪    币: 5621
活跃值: (31896)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
感谢分享
2023-8-14 09:05
1
mb_eucadiec
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
11
如果HOOK点与你异常处理函数在同一片内存会死掉。解决它!加油
2024-4-13 12:09
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回