首页
论坛
课程
招聘
[求助]关于obregistercallbacks
2021-5-3 13:52 1746

[求助]关于obregistercallbacks

2021-5-3 13:52
1746

刚刚接触驱动内核,学了一个星期,本来按照《WIN64基础编程》来说,打算去挑战一下游戏,然后我也查了一下,现在大部分游戏都是利用obregistercallbacks这个函数来创建线程与进程回调来保护自己不被读写,我一寻思,这不就是曲线救国的x86下的hook NTopenprocess吗,然后就在看雪上找类似的资料,最后发现大部分有效对抗此回调的方法,基本上大部分也只有
1.高位拦截(亲测可用)
2.遍历回调入口hook头部(基本上大部分游戏都会有crc)
然后相对于其他方法,比如利用ObUnRegisterCallbacks
来卸载句柄之内的,一般也会有检测重新创建

 

但是现在这游戏估计又加了一点什么东西,我利用高位拦截,内存只能存在三秒左右就全部又被保护起来了

 

于是我在ce上做了一个设置

 

“读写进程内存”

 

此项目打勾,然后在加载自己的驱动

 

内存又全部能读取了

 

但是我还是想研究一下这种三秒读内存的原因出在哪里,有望大神赐教,仅做研究。


第五届安全开发者峰会(SDC 2021)议题征集正式开启!

收藏
点赞1
打赏
分享
最新回复 (3)
雪    币: 130
活跃值: 活跃值 (562)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ookkaa 活跃值 2021-5-3 14:13
2
0
libelevate或者自己绕过句柄的创建操作,DNF不是去年早就加了吗
雪    币: 37
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
算神卜命 活跃值 2021-5-3 14:45
3
0
ookkaa libelevate或者自己绕过句柄的创建操作,DNF不是去年早就加了吗
我已经过了,问题是他现在一直在清空内存
雪    币: 601
活跃值: 活跃值 (975)
能力值: ( LV3,RANK:32 )
在线值:
发帖
回帖
粉丝
qqzxc 活跃值 2021-5-6 15:44
4
0
ace 扫句柄表
游客
登录 | 注册 方可回帖
返回