1234下一页
返回列表 发布新帖

[技术教程] 外挂界的大哥?号称无法被检测的DMA物理读写内存设备到底是个啥

3187 35
发表于 2024-5-17 22:31:51 | 显示全部楼层 阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

×
早在大概20年左右 我就注意到了github dma的项目
也就是这个 https://github.com/slack2450/csgo-dma-overlay
该项目使用了DMA来绕过反作弊实际原理比这个更加复杂一些
不过这篇帖子只讨论关于DMA部分的内容
其实DMA全称Direct Memory Access,即直接存储器访问
也就是利用PCIE设备来直接读写物理内存这种方式绕过了操作系统
做到了可以在目标机上没有任何代码运行的情况下做到读写内存的操作
这个项目是DMA的发源地 https://github.com/ufrisk/pcileech
具体关于DMA物理读写设备的原理都可以参考这个项目包括上面那个CSGO的读写绘制也是依赖了pcileech
大概年前 通过一位朋友拿到了一块DMA读写设备
拿回来了以后一直压箱底 没有去玩 不得不说万能的朋友圈真是啥都有
今天有空于是拿出来试了试首先是下载DMA依赖
或者我喜欢称之为基础库
因为DMA只能读物理内存
但当前的操作系统都有虚拟内存到物理内存的转换一个物理内存可以对应多个虚拟内存等等知识不再具体聊下去了
所以pcileech这个装备库就帮你完成了绝大多数的工作你可以直接输入虚拟内存 然后他会自动帮你转换再通过DMA设备进行读取内容总之这个库的功能十分强大

外挂界的大哥?号称无法被检测的DMA物理读写内存设备到底是个啥

外挂界的大哥?号称无法被检测的DMA物理读写内存设备到底是个啥


  1. import memprocfs
  2. vmm = memprocfs.Vmm(['-device', 'existingremote'])
  3. for process in vmm.process_list():
  4.     for entry in process.maps.pte():
  5.         if '-rwx' in entry['flags']:
  6.             print(str(process.pid) + ': ' + process.name + ': ' + str(entry))
复制代码
这部分是自带的python代码 当然我跑的是win32环境
你可以看到库里还能直接帮你枚举进程列表实际上
他原理大概类似特征定位只要定位到了ntos的地址
剩下的都好说不过说起来简单想实现这个库还是挺难的
因为我的测试机是个破旧的华南X79在经历了一大堆麻烦事以后才终于跑通了这份代码
并且我这台电脑上装的还是python27于是乎我直接导入头文件 开个测试工程 开始试一下到底好不好用
  1. char* temp_str[] = { "","-device","FPGA" };
  2. VMM_HANDLE handle = VMMDLL_Initialize(3, temp_str);
复制代码
  1. SIZE_T pcPIDs;
  2. VMMDLL_PidList(handle, nullptr, &pcPIDs);
  3. DWORD* pPIDs = (DWORD*)new char[pcPIDs * 4];
  4. VMMDLL_PidList(handle, pPIDs, &pcPIDs);
  5. for (int i = 0; i < pcPIDs; i++)
  6. {
复制代码
  1.         VMMDLL_PROCESS_INFORMATION ProcessInformation = { 0 };
  2.         ProcessInformation.magic = VMMDLL_PROCESS_INFORMATION_MAGIC;
  3.         ProcessInformation.wVersion = VMMDLL_PROCESS_INFORMATION_VERSION;
  4.         SIZE_T pcbProcessInformation = sizeof(VMMDLL_PROCESS_INFORMATION);
  5.         VMMDLL_ProcessGetInformation(handle, pPIDs[i], &ProcessInformation, &pcbProcessInformation);
复制代码
  1. std::cout << pPIDs[i] << "---" << ProcessInformation.szName;
复制代码
  1.         VMMDLL_MAP_MODULEENTRY* ppModuleMapEntry = nullptr;
  2.         VMMDLL_Map_GetModuleFromNameU(handle, pPIDs[i], ProcessInformation.szName, &ppModuleMapEntry,VMMDLL_MODULE_FLAG_NORMAL);
复制代码
  1. if (ppModuleMapEntry)
  2.         {
  3.                 std::cout << "---" << ppModuleMapEntry->uszFullName << std::endl;
  4.                 if (ProcessInformation.szName == std::string("dwm.exe"))
  5.                 {
  6.                         std::cout << "IMAGE:"<<std::hex << ppModuleMapEntry->vaBase << std::endl;
  7.                         ULONG temp = 0;
  8.                         VMMDLL_MemRead(handle, pPIDs[i], ppModuleMapEntry->vaBase, (PBYTE)&temp, 4);
  9.                         std::cout << "temp:" << temp << std::endl;
  10.                         temp = 0;
  11.                         VMMDLL_MemWrite(handle, pPIDs[i], ppModuleMapEntry->vaBase, (PBYTE)&temp, 4);
  12.                         VMMDLL_MemRead(handle, pPIDs[i], ppModuleMapEntry->vaBase, (PBYTE)&temp, 4);
  13.                         std::cout << "temp:" << temp << std::endl;
  14.                 }
  15.         }
  16.         else
  17.         {
  18.                 std::cout << std::endl;
  19.         }
复制代码
  1. }
复制代码
  1. typedef struct tdVMMDLL_PROCESS_INFORMATION {
  2.     ULONG64 magic;
  3.     WORD wVersion;
  4.     WORD wSize;
  5.     VMMDLL_MEMORYMODEL_TP tpMemoryModel;    // as given by VMMDLL_MEMORYMODEL_* enum
  6.     VMMDLL_SYSTEM_TP tpSystem;              // as given by VMMDLL_SYSTEM_* enum
  7.     BOOL fUserOnly;                         // only user mode pages listed
  8.     DWORD dwPID;
  9.     DWORD dwPPID;
  10.     DWORD dwState;
  11.     CHAR szName[16];
  12.     CHAR szNameLong[64];
  13.     ULONG64 paDTB;
  14.     ULONG64 paDTB_UserOpt;                  // may not exist
  15.     struct {
  16.         ULONG64 vaEPROCESS;
  17.         ULONG64 vaPEB;
  18.         ULONG64 _Reserved1;
  19.         BOOL fWow64;
  20.         DWORD vaPEB32;                  // WoW64 only
  21.         DWORD dwSessionId;
  22.         ULONG64 qwLUID;
  23.         CHAR szSID[MAX_PATH];
  24.         VMMDLL_PROCESS_INTEGRITY_LEVEL IntegrityLevel;
  25.     } win;
  26. } VMMDLL_PROCESS_INFORMATION, *PVMMDLL_PROCESS_INFORMATION;

复制代码
同时VMMDLL_Map_GetModuleFromName这个函数还能获取模块地址以及模块大小等等信息

  1. typedef struct tdVMMDLL_MAP_MODULEENTRY {
  2.     QWORD vaBase;
  3.     QWORD vaEntry;
  4.     DWORD cbImageSize;
  5.     BOOL  fWoW64;
  6.     union { LPSTR  uszText; LPWSTR wszText; };              // U/W dependant
  7.     DWORD _Reserved3;
  8.     DWORD _Reserved4;
  9.     union { LPSTR  uszFullName; LPWSTR wszFullName; };      // U/W dependant
  10.     VMMDLL_MODULE_TP tp;
  11.     DWORD cbFileSizeRaw;
  12.     DWORD cSection;
  13.     DWORD cEAT;
  14.     DWORD cIAT;
  15.     DWORD _Reserved2;
  16.     QWORD _Reserved1[3];
  17.     PVMMDLL_MAP_MODULEENTRY_DEBUGINFO pExDebugInfo;         // not included by default - use VMMDLL_MODULE_FLAG_DEBUGINFO to include.
  18.     PVMMDLL_MAP_MODULEENTRY_VERSIONINFO pExVersionInfo;     // not included by default - use VMMDLL_MODULE_FLAG_VERSIONINFO to include.
  19. } VMMDLL_MAP_MODULEENTRY, *PVMMDLL_MAP_MODULEENTRY;
复制代码
拿到MZ 完全没问题
至此关于DMA的体验就结束了 因为我那台华南X79的主板兼容性很差 所以我也没有继续深入的体验了

栈回潮:如果你喜欢我的帖子可以帮忙点个关注 https://github.com/DragonQuestHero
这样等我去面试的时候 人家只要点开了我的个人页面 看到如此多的关注 谁会不迷糊 至少面子是有了 你说对吧(狗头)

温馨提示:
1、在论坛里发表的文章仅代表作者本人的观点,与本网站立场无关。
2、论坛的所有内容都不保证其准确性,有效性,时间性。阅读本站内容因误导等因素而造成的损失本站不承担连带责任。
3、当政府机关依照法定程序要求披露信息时,论坛均得免责。
4、若因线路及非本站所能控制范围的故障导致暂停服务期间造成的一切不便与损失,论坛不负任何责任。
5、注册会员通过任何手段和方法针对论坛进行破坏,我们有权对其行为作出处理。并保留进一步追究其责任的权利。
6、论坛仅限于交流探讨与转载分享,严禁在此发布违规违法帖子,否则后果自负!网站内容如有侵犯了您的权益,请及时联系我们予以删除!
回复

使用道具 举报

评论35

SoulLv.7 发表于 2024-5-17 22:32:40 | 显示全部楼层
过去的事情可以不忘记,但一定要放下。
我要说一句 收起回复
B Color Smilies
还可输入 200 个字符
回复

使用道具 举报

EsseLv.7 发表于 2024-5-17 22:38:44 | 显示全部楼层
泥泞路上的奔驰,永远跑不过高速路上的夏利。说明:”平台很重要!”
我要说一句 收起回复
B Color Smilies
还可输入 200 个字符
回复

使用道具 举报

BetrayLv.7 发表于 2024-5-17 22:58:36 | 显示全部楼层
涨姿势了
我要说一句 收起回复
B Color Smilies
还可输入 200 个字符
回复

使用道具 举报

ForeordinationLv.7 发表于 2024-5-17 23:04:23 | 显示全部楼层
胆子不小啊,居然让我抢到了沙发!
我要说一句 收起回复
B Color Smilies
还可输入 200 个字符
回复

使用道具 举报

ChrysanthemumLv.7 发表于 2024-5-17 23:43:11 | 显示全部楼层
现在很痛苦,等过阵子回头看看,会发现其实那都不算事。
我要说一句 收起回复
B Color Smilies
还可输入 200 个字符
回复

使用道具 举报

PainLv.7 发表于 2024-5-18 01:17:08 | 显示全部楼层
楼主想办法,让咱的帖子火起来吧。。。。
我要说一句 收起回复
B Color Smilies
还可输入 200 个字符
回复

使用道具 举报

DragLv.7 发表于 2024-5-18 01:55:35 | 显示全部楼层
是爷们的娘们的都帮顶!大力支持
我要说一句 收起回复
B Color Smilies
还可输入 200 个字符
回复

使用道具 举报

AcaicaLv.7 发表于 2024-5-18 02:27:19 | 显示全部楼层
沙发???
我要说一句 收起回复
B Color Smilies
还可输入 200 个字符
回复

使用道具 举报

windLv.7 发表于 2024-5-18 02:49:55 | 显示全部楼层
楼下的且行且珍惜!
我要说一句 收起回复
B Color Smilies
还可输入 200 个字符
回复

使用道具 举报

回复

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

投诉/建议联系

jinqike1026@163.com

论坛仅限于交流探讨与转载分享,
严禁在此发布违规违法帖子,否则后果自负!
网站内容如有侵犯了您的权益,请及时联系我们予以删除!
  • 关注公众号
  • 添加微信客服
Copyright © 2001-2024 金小颖论坛 版权所有 All Rights Reserved. |网站地图 浙ICP备2022006091号
关灯 快速发帖
扫一扫添加微信客服
返回顶部
快速回复 返回顶部 返回列表