首页
论坛
专栏
课程

[系统底层] [讨论][原创]伪造CR3 反调试。

2019-4-17 14:49 2640

[系统底层] [讨论][原创]伪造CR3 反调试。

2019-4-17 14:49
2640
代码写的比较简陋。看完这个 部分人应该就明白怎么恢复CR3了==

[推荐]看雪企服平台,提供安全分析、定制项目开发、APP等级保护、渗透测试等安全服务!

上传的附件:
上一主题 下一主题
最新回复 (13)
BDBig 2019-4-17 14:50
2
0
很多东西都没判断。没处理只是单独的写一下CR3 刷一下TLB 
云才哥 2019-4-17 15:42
3
0
易语言大手子
BDBig 2019-4-17 18:59
4
0
云才哥 易语言大手子
我不是
黑洛 1 2019-4-17 21:59
5
0
云才哥 易语言大手子
那个是mfc,从哪里看出来是易语言的?
Mxixihaha 2019-4-18 08:25
6
0
BDBig 我不是
估计他是看到你虚拟机里面一堆易语言程序
不吃麻婆豆腐 2019-4-18 17:03
7
0
M F C  BIG HANDLE
古河面包店 2019-4-19 15:09
8
0
mark.
又出bug了 2 2019-4-19 15:14
9
0
好贴支持楼主
黑手鱼 2 2019-4-19 17:08
10
0
感谢分享,下载看看
最爱季节 2019-4-27 17:10
11
0
好帖,感谢
今天不吃面 6天前
12
0
楼主你好,我学r0时间不长,有个问题想问下,我对这段代码的理解是把受保护进程P的页目录替换成了无效值,
然后hook了缺页中断,页面异常后判断触发异常的是不是P,如果是,则把正确的cr3写入,
那么如果P运行在cpu0,我自己写一个驱动,运行在cpu1,然后遍历EPROCESS找到P,这时获取到P的页目录地址应该是正确的吧
sandboxie 3天前
13
0
好帖!  
今天不吃面 1天前
14
0
今天不吃面 楼主你好,我学r0时间不长,有个问题想问下,我对这段代码的理解是把受保护进程P的页目录替换成了无效值, 然后hook了缺页中断,页面异常后判断触发异常的是不是P,如果是,则把正确的cr3写入, 那 ...
楼主,盼回复
游客
登录 | 注册 方可回帖
返回