狐白小刺客 发表于 2020-8-5 16:38

利用ProcessWorkingSetWatch 防"R0" R3一切读写内存

本帖最后由 狐白小刺客 于 2020-8-5 16:46 编辑


测试结果:
R3 全败
R0MDL 和CR3 都被检测到(EPT VT没有测试)


(不过这个API在网上没相关信息 我也不确定是不是判断PDE PTE A,D 毕竟这个可以重置写入不可能去清除D位)


原理在视频里讲了 不过还有一些数据是在博客上 (无源码)

**** Hidden Message *****



Sky__Mo 发表于 2020-8-5 19:56

感谢分享            

爱腾讯爱生活 发表于 2020-8-5 20:27

学习{:5_193:}

fghtiger 发表于 2020-8-5 20:31

大佬,vmp3.5 的反调试也应该出教程了。

Sky__Mo 发表于 2020-8-5 20:35

还是没发现博客地址

瑾年 发表于 2020-8-5 20:47

你将受到所有人的崇拜!

狐白小刺客 发表于 2020-8-5 21:30

fghtiger 发表于 2020-8-5 20:31
大佬,vmp3.5 的反调试也应该出教程了。

VMP3.5 loli插件还是能应付前提是关掉Sharpod的HOOK

亿联网络 发表于 2020-8-6 07:48

感谢分享{:5_188:}

梨花丶 发表于 2020-8-6 09:08

感谢分享 学习了

Crook 发表于 2020-8-6 15:27

感谢分享 下载看看
页: [1] 2 3 4 5 6 7 8 9 10
查看完整版本: 利用ProcessWorkingSetWatch 防"R0" R3一切读写内存