看雪论坛
发新帖

[求助]关于HOOK ZwQueryVirtualMemory 问个问题

米饭君 2017-9-9 15:11 292
对于暴力扫内存的 我HOOK了这个API 过滤掉了自己的内存  就相当于把自己内存隐藏掉了(暂时不管模拟的Zw函数) 但是应对的方法是不是能有  查出我自己把那段内存隐藏了 然后我就GG了

if ((DWORD)memory->AllocationBase == MyhModule)
{
VirtualQuery(LPVOID(DWORD(memory->BaseAddress) + memory->RegionSize), memory, sizeof(MEMORY_BASIC_INFORMATION));
return;

这样的处理方法可行吗
本主题帖已收到 0 次赞赏,累计¥0.00
最新回复 (10)
萌克力 2017-9-9 16:25
2
http://bbs.pediy.com/thread-218606.htm
hzqst 2017-9-9 16:25
3
你在ring3  hook的?
不好意思,某游戏确实是自己构造的ZwQuery,顺便原始的ntdll里的ZwQuery上也有crc哦,改了必死
米饭君 2017-9-9 18:17
4
hzqst 你在ring3 hook的? 不好意思,某游戏确实是自己构造的ZwQuery,顺便原始的ntdll里的ZwQuery上也有crc哦,改了必死
我知道ntdll  的有CRC  他自己构造的Zw函数我也定位了位置  也一样HOOK了    但是大概20分钟就完蛋了  是不是有暗桩  把内存隐藏了就完蛋
米饭君 2017-9-9 18:23
5
萌克力 http://bbs.pediy.com/thread-218606.htm
加个q  讨论下可以吗
萌克力 2017-9-9 19:04
6
hzqst 你在ring3 hook的? 不好意思,某游戏确实是自己构造的ZwQuery,顺便原始的ntdll里的ZwQuery上也有crc哦,改了必死
ICS大法好
米饭君 2017-9-9 19:32
7
萌克力 ICS大法好
905540987  加个讨论下  可以吗
hzqst 2017-9-9 20:00
8
米饭君 我知道ntdll 的有CRC 他自己构造的Zw函数我也定位了位置 也一样HOOK了 但是大概20分钟就完蛋了 是不是有暗桩 把内存隐藏了就完蛋
你去内核勾
米饭君 2017-9-9 20:04
9
hzqst 你去内核勾
HOOK内核就陷进去了  而且还得搞PG啊
hzqst 2017-9-9 20:26
10
米饭君 HOOK内核就陷进去了 而且还得搞PG啊
静态过pg的patch网上一堆
米饭君 2017-9-9 20:41
11
hzqst 静态过pg的patch网上一堆
我好像记得  有些w7  64    patch了pg  hook了内核  过会  会出109蓝屏    是因为没patch干净吗
返回



©2000-2017 看雪学院 | Based on Xiuno BBS | 微信公众号:ikanxue
Time: 0.012, SQL: 9 / 京ICP备10040895号-17