精易论坛

标题: 检测内存变动让软件变得安全 [打印本页]

作者: 莉繁 时间: 2024-1-27 17:19
标题: 检测内存变动让软件变得安全
本帖最后由莉繁于 2024-1-27 22:25 编辑

前言：配装搭配精易模块[v11.1.0]。目前论坛上貌似没有人发过相关帖子，我也曾发过疑问帖，但是没有什么帮助。今天脑洞大开啊，写了出来。支持开源精神~~~

思路：
首先，调用ReadProcessMemory函数，记录一次程序的text区段（代码页）的字节集[为什么是字节集，因为后要用到他]。然后设置一个时钟周期为1s的时钟，他的事件为再次记录程序的text区段（代码页）的字节集，然后与第一次的（初始化的）进行对比，如果不一样，则会调用WriteProcessMemory函数去对text区段的代码页写入原先初始化的text区段字节集[这里就是要用到最开始的字节集了]，使其做到“还原”的效果。

所需函数：
都是Kernel32.dll的函数。一个是ReadProcessMemory.一个是WriteProcessMemory

源码：

补充内容 (2024-1-29 18:05):
一切2创记得补上原创是谁，别拿着倒卖圈钱

补充内容 (2024-1-29 18:55):
没有安装内存读写支持库的，可以把问号的地方替换成精易模块的进制_十六到十(“401000”)

作者: 123456ppt 时间: 2024-1-27 17:21
我靠这么牛逼？监测全部内存数据？？

作者: 莉繁 时间: 2024-1-27 17:22

123456ppt 发表于 2024-1-27 17:21
我靠这么牛逼？监测全部内存数据？？

只是text区段内存

作者: 447485268 时间: 2024-1-27 17:22
支持开源~！感谢分享

作者: ttyyy06 时间: 2024-1-27 17:24
看看快快快

作者: 清华大学优等生 时间: 2024-1-27 17:26
没用哦

作者: 莉繁 时间: 2024-1-27 17:28

清华大学优等生发表于 2024-1-27 17:26
没用哦

怎么说呢大佬

作者: 496991190 时间: 2024-1-27 17:40
非常感谢

作者: 路远啊 时间: 2024-1-27 17:43
6666666666666666666

作者: 文西哥 时间: 2024-1-27 17:46
如果对方直接干掉了时钟{:7_432:}

作者: 莉繁 时间: 2024-1-27 17:49

文西哥发表于 2024-1-27 17:46
如果对方直接干掉了时钟

实在不行上线程，然后上检测非法调试器

作者: Rip 时间: 2024-1-27 17:50

看看

作者: xyh3526 时间: 2024-1-27 17:52

莉繁发表于 2024-1-27 17:49
实在不行上线程，然后上检测非法调试器

自己手写一个硬件时钟

作者: 谁的坏叔叔 时间: 2024-1-27 17:52

如果对方暂停你的进程修改打保存

作者: 莉繁 时间: 2024-1-27 17:53

谁的坏叔叔发表于 2024-1-27 17:52
如果对方暂停你的进程修改打保存

上云校验

作者: 微信的木头人 时间: 2024-1-27 17:56
一环扣一环干掉时钟程序退出

作者: 123456ppt 时间: 2024-1-27 17:58

莉繁发表于 2024-1-27 17:22
只是text区段内存

作者: sksksz 时间: 2024-1-27 17:59
6666666666666666666

作者: 莉繁 时间: 2024-1-27 18:11

微信的木头人发表于 2024-1-27 17:56
一环扣一环干掉时钟程序退出

忍不住了，上VMP4.1

作者: 杰西卡技术传媒 时间: 2024-1-27 18:17
支持开源精神

作者: zaozi 时间: 2024-1-27 18:29
谢谢分享!

作者: 布点脚本师 时间: 2024-1-27 18:35
支持开源精神

作者: CigaretteWine 时间: 2024-1-27 18:40
动态CRC -》动态解密生成crc校检代码，然后线程子线程运行，线程内加入执行CRC效验的过程的代码。需要返回加密的数值，这个值是一个指针存储。然后等待线程返回，然后检查指针，是否通过，如果线程被处理了就直接断定非法。自己去扩充就行了。还能更变态点，自己想怎么玩就怎玩，

作者: 莉繁 时间: 2024-1-27 18:42

weidongjun 发表于 2024-1-27 18:40
动态CRC -》动态解密生成crc校检代码，然后线程子线程运行，线程内加入执行CRC效验的过程的代码。需要 ...

对的，其实很多种

作者: 非常猥锁 时间: 2024-1-27 18:45
如果时钟被干掉呢？....

作者: renxiaolin19 时间: 2024-1-27 18:48
支持开源精神

作者: 莉繁 时间: 2024-1-27 18:49

非常猥锁发表于 2024-1-27 18:45
如果时钟被干掉呢？....

上过程校验，线程等

作者: 学习122 时间: 2024-1-27 18:50
感谢分享!

作者: chinapk 时间: 2024-1-27 18:57
初始化程序原本的数

作者: 780715740 时间: 2024-1-27 19:02

初始化程序原本的数

作者: 734115266 时间: 2024-1-27 19:35
检测内存变动

作者: 小阿宇 时间: 2024-1-27 19:38

看看

作者: wuqingg 时间: 2024-1-27 19:42
看样子是保护程序的，可是我连有价值的程序都么得，搞PJ的看了一眼我的程序直接拖垃圾箱，哈哈哈

作者: 2446789312 时间: 2024-1-27 19:42

这个网盘怎么下载资源？？

作者: kuangshen1 时间: 2024-1-27 19:44
看看怎么样

作者: msm1985 时间: 2024-1-27 19:51
看看

作者: ensurf 时间: 2024-1-27 19:56
学习一下

作者: 网络注册络员 时间: 2024-1-27 19:56
支持楼主

作者: 莉繁 时间: 2024-1-27 19:58
@BeaFeng 问题是不会

作者: jysoft2022 时间: 2024-1-27 19:58
谢谢分享

作者: lity2310 时间: 2024-1-27 20:02
下载下来学习学习

作者: 25021081531 时间: 2024-1-27 20:31
学习学习学习

作者: 深爱者 时间: 2024-1-27 20:49
支持开源！感谢分享，论坛有你更精彩~

作者: 小馬哥 时间: 2024-1-27 20:53

作者: 小小C 时间: 2024-1-27 21:01
读字节集内存然后对比

作者: wmv520 时间: 2024-1-27 21:05
对比内存字节集

作者: 莉繁 时间: 2024-1-27 21:08

小小C 发表于 2024-1-27 21:01
读字节集内存然后对比

之所以这样，是因为后期要还原

作者: 亿万 时间: 2024-1-27 21:12

感谢分享，很给力！~

作者: ker519 时间: 2024-1-27 21:19
感谢分享，很给力！~

作者: 已asdawd 时间: 2024-1-27 21:49
学习一下谢谢了

作者: 已asdawd 时间: 2024-1-27 21:51
我没想到你四行代码值三个币

作者: 莉繁 时间: 2024-1-27 21:59

已asdawd 发表于 2024-1-27 21:51
我没想到你四行代码值三个币

虽然我不缺，但是看得让人觉得不亏

作者: aiyang 时间: 2024-1-27 22:14
333333333333

作者: dzscuz 时间: 2024-1-27 23:15
看看，学学，支持楼主

作者: ZHuanR 时间: 2024-1-27 23:25
新技能已get√

作者: 784326742 时间: 2024-1-27 23:33
遇见那些量大的自身内存写入马上就喊哦豁

作者: freeocean 时间: 2024-1-28 00:49
赠人玫瑰手有余香

作者: snufgpl 时间: 2024-1-28 00:51
支持，膜拜了~

作者: zytlj 时间: 2024-1-28 01:26
谢谢分享。

作者: 火狐编程 时间: 2024-1-28 01:29
学习下，不错哦~

作者: qaz123qw 时间: 2024-1-28 01:42
学习下，不错哦~

作者: shaokui123 时间: 2024-1-28 01:44
谢谢分享！

作者: shaokui123 时间: 2024-1-28 01:45
谢谢分享！

作者: 阿白不爱吃菜 时间: 2024-1-28 02:39
新技能已get√

作者: 123456788 时间: 2024-1-28 02:55
感谢分享

作者: 查过 时间: 2024-1-28 07:44
已经顶贴，感谢您对论坛的支持！

作者: 豆豆灰常开心 时间: 2024-1-28 07:49
感谢您对论坛的支持！

作者: seaser 时间: 2024-1-28 08:12
感谢分享试试

作者: jzfxly 时间: 2024-1-28 08:43
谢谢分享！

作者: jtucar 时间: 2024-1-28 08:44
感谢分享，很给力！~

作者: 龍貓 时间: 2024-1-28 08:46

其实加个全局CRC就够用了比绝大部分方法好用

作者: w521521 时间: 2024-1-28 09:02
感谢分享，很给力！~

作者: 18583687285 时间: 2024-1-28 09:16
感谢分享，很给力！~

作者: f123456123 时间: 2024-1-28 09:23
让软件变得安全 [修改

作者: 墨尘新月 时间: 2024-1-28 09:25
感谢分享

作者: qqmqqg 时间: 2024-1-28 09:31
66666666666666666666666666

作者: 一指温柔 时间: 2024-1-28 09:40
感谢分享，很给力！~

作者: 396384183 时间: 2024-1-28 10:02
支持开源~！感谢分享

作者: woshiwangzheACE 时间: 2024-1-28 10:18
6666666666666

作者: 易智趣吖 时间: 2024-1-28 10:35
很想学。但是这块没啥基础，难受~

作者: lrmsdyjd 时间: 2024-1-28 10:50
66666666666666666666666

作者: a4561482 时间: 2024-1-28 11:03
很强拿走了

作者: yu520 时间: 2024-1-28 11:17
很强拿走了

作者: 帅怨 时间: 2024-1-28 11:25
谢谢分享

作者: 13362303314 时间: 2024-1-28 12:24
6666656666666666666

作者: 临安 时间: 2024-1-28 12:46
感谢楼主分享！

作者: 吃干饭的锅 时间: 2024-1-28 12:58
支持一下，感谢分享

作者: 欧青辣少 时间: 2024-1-28 13:23
感谢分享，很给力！~

作者: 美味萝卜 时间: 2024-1-28 13:27
感谢分享，很给力！~

作者: 小虎来了 时间: 2024-1-28 13:35
感谢分享，很给力！~

作者: 难解 时间: 2024-1-28 13:39
感谢分享，很给力！~

作者: youxigw 时间: 2024-1-28 13:50
感谢分享，很给力！~

作者: 亚伦gg 时间: 2024-1-28 14:33

作者: 黑衣 时间: 2024-1-28 14:53
您要查看本帖隐藏

作者: jangel1 时间: 2024-1-28 15:35
检测内存变动让软件变得安全

作者: Aesgb 时间: 2024-1-28 16:39

作者: zaozi 时间: 2024-1-28 16:40
支持开源~！感谢分享

作者: veryhigh2014 时间: 2024-1-28 16:46
看看啥手法

作者: 上夜班的小明 时间: 2024-1-28 17:21
检测内存变动让软件变得安全

作者: 憨憨问号 时间: 2024-1-28 17:32
霍，好聪明的思路

欢迎光临精易论坛 (https://125.confly.eu.org/)