利用内存锁定技术防止CE修改

通过这种在R3环利用的技术,我们可以来达到保护内存的目的,像VirtualProtect等函数来修改页属性根本无法修改。

而CE修改器推测应该使用VirtualProtect来修改页属性,从而可以修改内存。

当然,这种技术在R0层面是可以修改的(当然修改起来也有一定难度)

原理这里先说明自己还不太清除,但弄清楚之后会补上的。

先展示源代码,后展示效果

 // 内存锁定.cpp : Defines the entry point for the console application.

 //

 #include "stdafx.h"

 #include <stdio.h>

 #include <Windows.h>

 #include <stdlib.h>

 #define InitializeObjectAttributes( p, n, a, r, s ) { \

     (p)->Length = sizeof( OBJECT_ATTRIBUTES );          \

     (p)->RootDirectory = r;                             \

     (p)->Attributes = a;                                \

     (p)->ObjectName = n;                                \

     (p)->SecurityDescriptor = s;                        \

     (p)->SecurityQualityOfService = NULL;               \

     }

 typedef struct _UNICODE_STRING {

     USHORT Length;

     USHORT MaximumLength;

     PWSTR  Buffer;

 } UNICODE_STRING, *PUNICODE_STRING;

 typedef struct _OBJECT_ATTRIBUTES {

     ULONG           Length;

     HANDLE          RootDirectory;

     PUNICODE_STRING ObjectName;

     ULONG           Attributes;

     PVOID           SecurityDescriptor;

     PVOID           SecurityQualityOfService;

 }  OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES;

 typedef  DWORD (WINAPI*ZwCreateSectionProc)(

     PHANDLE            SectionHandle,

     ACCESS_MASK        DesiredAccess,

     POBJECT_ATTRIBUTES ObjectAttributes,

     PLARGE_INTEGER     MaximumSize,

     ULONG              SectionPageProtection,

     ULONG              AllocationAttributes,

     HANDLE             FileHandle

 );

 typedef enum _SECTION_INHERIT {

     ViewShare = ,

     ViewUnmap =

 } SECTION_INHERIT;

 typedef DWORD (WINAPI *ZwMapViewOfSectionProc)(

      HANDLE SectionHandle,

      HANDLE ProcessHandle,

      PVOID *BaseAddress,

      ULONG_PTR ZeroBits,

     SIZE_T CommitSize,

      PLARGE_INTEGER SectionOffset,

  PSIZE_T ViewSize,

      SECTION_INHERIT InheritDisposition,

     ULONG AllocationType,

     ULONG Win32Protect

 );

 int main()

 {

     HMODULE h = LoadLibraryA("ntdll.dll");

     ZwCreateSectionProc ZwCreateSection = (ZwCreateSectionProc)GetProcAddress(h, "NtCreateSection");

     ZwMapViewOfSectionProc ZwMapViewOfSection = (ZwMapViewOfSectionProc)GetProcAddress(h, "ZwMapViewOfSection");

     HANDLE SectionHandle;

     LARGE_INTEGER MaximumSize = {  };

     MaximumSize.QuadPart = 0x10000;

     OBJECT_ATTRIBUTES obj = {  };

     InitializeObjectAttributes(&obj, NULL, 0x40, , );

     DWORD error = ZwCreateSection(&SectionHandle, SECTION_ALL_ACCESS, NULL, &MaximumSize, PAGE_EXECUTE_READ, SEC_COMMIT, NULL);

     PVOID BaseAddress = NULL;

     SIZE_T ViewSize = ;

     error = ZwMapViewOfSection(SectionHandle, GetCurrentProcess(), &BaseAddress, ,

         0x10000, NULL, &ViewSize, (SECTION_INHERIT), , PAGE_EXECUTE_READ);

     printf("%x,%x\r\n", BaseAddress, SectionHandle);

     DWORD p = ;

     error = VirtualProtect(BaseAddress, 0x10000, PAGE_EXECUTE_READWRITE, &p);

     system("pause");

     return ;

 }

1. 代码运行结果:

2. 使用CE来修改

  1)用CE附加。

  2)查看内存。

    

  3)点击“视图 -> 内存区域”。

    

  4)选中目标区域内存,左键修改,则明显无法修改。

    

3. 同时根据内存属性可以看到,其使用 VirtualProtect 将内存页属性置为 PAGE_EXECUTE_READWRITE, 明显无效。

  1)代码修改的

    

  2)内存显示的

    

4. 后记:其实这种技术在R0层是可以修改的,之后我们会详细介绍。

利用内存锁定技术防止CE修改的更多相关文章

  1. CE修改器使用教程 [入门篇]

    Cheat Engine 一般简称CE,是一个开放源代码的作弊软件,其功能包括:内存扫描.十六进制编辑器.调试工具,Cheat Engine 自身附带了外挂制作工具,可以用它直接生成外挂工具,CE可以 ...

  2. 利用Spring.Net技术打造可切换的分布式缓存读写类

    利用Spring.Net技术打造可切换的Memcached分布式缓存读写类 Memcached是一个高性能的分布式内存对象缓存系统,因为工作在内存,读写速率比数据库高的不是一般的多,和Radis一样具 ...

  3. 带你走进memcache,老牌内存缓存技术

    一.核心优化概述 什么是优化:以更小的资源支持更大负载网站的运行,以小博大. 思路:尽量减少用户等待时间,节省系统资源开销,节省带宽使用. 优化什么地方?有三方面:Memcache内存缓存技术.静态化 ...

  4. 【原创】Java内存攻击技术漫谈

    前言 Java技术栈漏洞目前业已是web安全领域的主流战场,随着IPS.RASP等防御系统的更新迭代,Java攻防交战阵地已经从磁盘升级到了内存里面. 在今年7月份上海银针安全沙龙上,我分享了< ...

  5. 议题解析与复现--《Java内存攻击技术漫谈》(一)

    解析与复现议题 Java内存攻击技术漫谈 https://mp.weixin.qq.com/s/JIjBjULjFnKDjEhzVAtxhw allowAttachSelf绕过 在Java9及以后的版 ...

  6. 利用模块加载回调函数修改PE导入表实现注入

    最近整理PE文件相关代码的时候,想到如果能在PE刚刚读进内存的时候再去修改内存PE镜像,那不是比直接对PE文件进行操作隐秘多了么? PE文件在运行时会根据导入表来进行dll库的"动态链接&q ...

  7. CE修改器修改DNF 测试视频 阿修罗提升智力增加攻击力

    使用CE修改器来修改网络游戏,如DNF 测试视频: CE修改器:指的是Cheat Engine,字面上的意思指的是作弊引擎的意思,是一款内存修改编辑工具.通过修改游戏的内存数据来得到一些原本无法实现的 ...

  8. Oracle内存管理技术

    1.Oracle内存管理技术 2.配置自动内存管理(AMM) 3.监视自动内存管理(AMM) 4.配置自动共享内存管理(ASMM) 5.配置自动PGA内存管理 Reference 1.Oracle内存 ...

  9. iOS开发ARC内存管理技术要点

    本文来源于我个人的ARC学习笔记,旨在通过简明扼要的方式总结出iOS开发中ARC(Automatic Reference Counting,自动引用计数)内存管理技术的要点,所以不会涉及全部细节.这篇 ...

随机推荐

  1. 【RTOS】基于V7开发板的uCOS-III,uCOS-II,RTX4,RTX5,FreeRTOS原版和带CMSIS-RTOS V2封装层版全部集齐

    RTOS模板制作好后,后面堆各种中间件就方便了. 1.基于V7开发板的最新版uCOS-II V2.92.16程序模板,含MDK和IAR,支持uC/Probe https://www.cnblogs.c ...

  2. LeetCode 第70题动态规划算法

    导言 看了 动态规划(https://www.cnblogs.com/fivestudy/p/11855853.html)的帖子,觉得写的很好,记录下来. 动态规划问题一直是算法面试当中的重点和难点, ...

  3. 如何设计APP版本号?

    示例: 2.14.21 (主版本号.次版本号.补丁号) 我们可以这样设计,软件包的版本号以英文句号分隔的三个数字来定义,分别代表主版本号.次版本号和补丁号.如果只是修复了错误,没有添加任何功能,也不会 ...

  4. SpringCloud中Feign的适配器的实现方案

    前言 最近在做微服务的项目,各个系统之间需要进行调用,然后用一个适配器来实现服务之间的feign调用,使用适配器进行统一管理. 实现方案 首先我们需要将服务的名称进行单独的配置,可以方便的进行切换和扩 ...

  5. Java并发总结

    Java并发 进程 进程是程序的一次执行过程,是系统运行程序的基本单位,因此进程是动态的.系统运行一个程序即是一个进程从创建,运行到消亡的过程. 在 Java 中,当我们启动 main 函数时其实就是 ...

  6. SimpleDateFormat类简单学习

    一.简介 SimpleDateFormat是一个格式化和解析日期的具体类,其可以将时间转化为指定格式的日期字符串,也可以将具有格式的日期字符串转换为时间. formatting (date → tex ...

  7. OAuth2、OpenID Connect简介

    当我们在登录一些网站的时候,需要第三方的登录.比如,现在我们要登录简书https://www.jianshu.com/sign_in,我们使用微博登录,点击下方的一个微博的小按钮,就会出现这么一个地址 ...

  8. C#(1)运用C#实现一键从Word文档转换TXT文本的功能

    有想直接从Word转TXT文本的可以看看,懒得复制粘贴的也可以使用下,方便而快捷!! 首先打开vs2012创建一个简单的form窗体: 里面主要的就是一个存放Word文档的button和一个执行的bu ...

  9. mssql sqlserver 如何编写case when 多条件呢?

    摘要: 下文讲述case when中多条件的编写方法,如下所示: 实验环境:sql server 2008 R2  case when 多条件编写方法  case when多条件编写语法: case ...

  10. benchmarks (主要用于分布式文件系统性能测试)

    最近进行学习过程中,遇到一些可以用得上的benchmark,在这里进行简要记录:之后估计会用到 TensorFlow benchmarks https://github.com/tensorflow/ ...