资源爱好者是一个特殊的网站,它喜欢收集各种资源来分享给他人。他们热爱资源,乐于分享,喜欢收集各种资源,以便更好地帮助他人。
CTRL+D收藏本站 - 找资源永不迷路。
【易首发】R3保护自己的代码段不被修改,直接废掉WriteMemory
作者:Melody 日期:2023-02-11 12:44:35 浏览:90 分类:易语言源码
思路来源:代码页防止更改
核心就是用NtMapViewOfSection给代码页添加SEC_NO_CHANGE属性
利用NtCreateSection创建一块和欲保护的地址大小相同的Section,然后将数据拷贝到改Section中,最后用NtMapViewOfSection重新映射回去(此时便可添加SEC_NO_CHANGE属性)
添加映射出的内存页被添加SEC_NO_CHANGE属性后,R3下NtProtectVirtualMemory就不能修改这个内存区域的内存属性了,只读的代码段不能被修改为可写。
接着R3下的写入改内存页的命令基本就废了。
保护后CE修改代码段的效果:
由于NtMapViewOfSection要求映射内容64KB对齐,这里可能让少部分只读属性的内存页变成可读可写。
不能尝试去保护kernel32.dll(它的内存映射情况非常奇怪),程序不能去保护ntdll.dll(因为NtMapViewOfSection在ntdll中,除非重写NtMapViewOfSection,不过这也不难,我就不实现了)
保护exe代码区段需要一个Dll来完成(显然,运行中代码区段不能解除自己的映射,这会导致程序直接崩溃),且需要编译出来才有效
猜你还喜欢
- 03-06 超好用的:易代码框增强v1.4.0++数据分类管理
- 03-06 能实现编辑框置提示文本的API
- 03-06 【HOOK LoadLibraryA】注入从而过滤+“非授权加载dll ”
- 03-06 精易模块++9宫格分割例子
- 03-06 ++窗口归位+系统工具源码
- 03-06 新样式的公告滚动播放
- 03-06 【易语言源码】当前地支时辰时刻+取古典时间2.0
- 03-01 +雷电模拟器单板源码+文明重启TU
- 03-01 超凡先锋 ++MUMU模拟器源码
- 03-01 ++微信红包扫雷源码分享+教程免公众号登录文件自带教程
- 02-29 类+超列配置+项
- 02-27 好用的打印机驱动
- 最近发表
-
- 微密圈NO.004期【88P24V】抖音猪小七性感美女个人写真摄影艺术照
- 微密圈 NO.015期 抖音月球造梦家性感美女写真
- 微密圈 NO.008期 抖音猪小七性感美女写真【102P12V】
- 微密圈 NO.001期 抖音左公子性感美女写真【62P45V】
- 微密圈 NO.002期 抖音左公子性感美女写真【104P】
- 微密圈 NO.003期 抖音左公子性感美女写真【113P】
- 微密圈 NO.004期 抖音左公子性感美女写真【113P】
- 微密圈 NO.005期 抖音左公子性感美女写真【107P】
- 微密圈 NO.006期 抖音左公子性感美女写真【19P1V】
- 微密圈 NO.007期 抖音左公子性感美女写真【135P】