level 8
Mr麦炳😜
楼主
gggggg先,转一篇某大神对追封的分析:
学习之前我们得知道两点:
DNF追封主要有两种方法
注入到DNF之后DNF会上传DLL文件给腾讯数据库
DNF对读写内存API修改 导致调用修改内存就会调用到他的检测以至于追封
至于第一点大家都听说过 我主要讲解第二点。
用到工具XT
XT可以用来看API的汇编代码 所以我们可以利用这个来看API是否被修改我们点击内核钩子 钩子的话就是HOOK也就是修改的意思 内核就是API 这个也就是说API被修改的地方 我们右键点击打钩的那个仅显示挂钩函数去掉。
然后我们找到序号为:186 他的名字是:NtreadVirtualMemory 为什么我们要找这个呢? 因为的话我们一般用超级模块的读写内存就会调用到readprocessmemory 和 writeprocessmemory这两个API函数 这两个API函数最终是调用NtreadVirtualmemory 和 Ntwritevirtualmemory 为什么调用这两个呢 因为这两个API函数是比较低级的 而NtreadVirtualmemory 和 Ntwritevirtualmemory这两个是内核级别的所以最终我们实现的功能还是调用到两个。 然后我们右键反汇编当前函数地址 然后这里一定要记住不要开DNF先 因为开DNF之后他就会对NtreadVirtualmemory 和 Ntwritevirtualmemory这两个函数进行修改 那么我们看到的知识被修改 而不是未修改的 然后我们看到了这个函数的汇编代码 我们右键导出 以此类推
277 NtWriteVirtualMemory
我们把这两个汇编代码保存了 然后接下来就是进游戏了 看下我们这两个函数是否被修改。
高亮说明给修改了
其实他后续还分析了很多,但是找不到帖子了,但是这段话有一段重要的信息“因为的话我们一般用超级模块的读写内存就会调用到readprocessmemory 和 writeprocessmemory这两个API函数”不只是超级模块调用了这两个API,市面上的常规驱动都是调用的这两个API!凡是调用这两个模块的驱动只要你使用了那么必追封!
2014年12月12日 03点12分
1
学习之前我们得知道两点:
DNF追封主要有两种方法
注入到DNF之后DNF会上传DLL文件给腾讯数据库
DNF对读写内存API修改 导致调用修改内存就会调用到他的检测以至于追封
至于第一点大家都听说过 我主要讲解第二点。
用到工具XT
XT可以用来看API的汇编代码 所以我们可以利用这个来看API是否被修改我们点击内核钩子 钩子的话就是HOOK也就是修改的意思 内核就是API 这个也就是说API被修改的地方 我们右键点击打钩的那个仅显示挂钩函数去掉。
然后我们找到序号为:186 他的名字是:NtreadVirtualMemory 为什么我们要找这个呢? 因为的话我们一般用超级模块的读写内存就会调用到readprocessmemory 和 writeprocessmemory这两个API函数 这两个API函数最终是调用NtreadVirtualmemory 和 Ntwritevirtualmemory 为什么调用这两个呢 因为这两个API函数是比较低级的 而NtreadVirtualmemory 和 Ntwritevirtualmemory这两个是内核级别的所以最终我们实现的功能还是调用到两个。 然后我们右键反汇编当前函数地址 然后这里一定要记住不要开DNF先 因为开DNF之后他就会对NtreadVirtualmemory 和 Ntwritevirtualmemory这两个函数进行修改 那么我们看到的知识被修改 而不是未修改的 然后我们看到了这个函数的汇编代码 我们右键导出 以此类推
277 NtWriteVirtualMemory
我们把这两个汇编代码保存了 然后接下来就是进游戏了 看下我们这两个函数是否被修改。
高亮说明给修改了
其实他后续还分析了很多,但是找不到帖子了,但是这段话有一段重要的信息“因为的话我们一般用超级模块的读写内存就会调用到readprocessmemory 和 writeprocessmemory这两个API函数”不只是超级模块调用了这两个API,市面上的常规驱动都是调用的这两个API!凡是调用这两个模块的驱动只要你使用了那么必追封!