外挂界的大哥?号称无法被检测的DMA物理读写内存设备到底是个啥

早在大概20年左右 我就注意到了github dma的项目
也就是这个 https://github.com/slack2450/csgo-dma-overlay
该项目使用了DMA来绕过反作弊实际原理比这个更加复杂一些
不过这篇帖子只讨论关于DMA部分的内容
其实DMA全称Direct Memory Access，即直接存储器访问
也就是利用PCIE设备来直接读写物理内存这种方式绕过了操作系统
做到了可以在目标机上没有任何代码运行的情况下做到读写内存的操作
这个项目是DMA的发源地 https://github.com/ufrisk/pcileech
具体关于DMA物理读写设备的原理都可以参考这个项目包括上面那个CSGO的读写绘制也是依赖了pcileech
大概年前 通过一位朋友拿到了一块DMA读写设备
拿回来了以后一直压箱底 没有去玩 不得不说万能的朋友圈真是啥都有
今天有空于是拿出来试了试首先是下载DMA依赖
或者我喜欢称之为基础库
因为DMA只能读物理内存
但当前的操作系统都有虚拟内存到物理内存的转换一个物理内存可以对应多个虚拟内存等等知识不再具体聊下去了
所以pcileech这个装备库就帮你完成了绝大多数的工作你可以直接输入虚拟内存 然后他会自动帮你转换再通过DMA设备进行读取内容总之这个库的功能十分强大

外挂界的大哥?号称无法被检测的DMA物理读写内存设备到底是个啥

1. import memprocfs
   
2. vmm = memprocfs.Vmm(['-device', 'existingremote'])
   
3. for process in vmm.process_list():
   
4.     for entry in process.maps.pte():
   
5.         if '-rwx' in entry['flags']:
   
6.             print(str(process.pid) + ': ' + process.name + ': ' + str(entry))

复制代码

这部分是自带的python代码 当然我跑的是win32环境
你可以看到库里还能直接帮你枚举进程列表实际上
他原理大概类似特征定位只要定位到了ntos的地址
剩下的都好说不过说起来简单想实现这个库还是挺难的
因为我的测试机是个破旧的华南X79在经历了一大堆麻烦事以后才终于跑通了这份代码
并且我这台电脑上装的还是python27于是乎我直接导入头文件 开个测试工程 开始试一下到底好不好用

1. char* temp_str[] = { "","-device","FPGA" };
   
2. VMM_HANDLE handle = VMMDLL_Initialize(3, temp_str);

复制代码

1. SIZE_T pcPIDs;
   
2. VMMDLL_PidList(handle, nullptr, &pcPIDs);
   
3. DWORD* pPIDs = (DWORD*)new char[pcPIDs * 4];
   
4. VMMDLL_PidList(handle, pPIDs, &pcPIDs);
   
5. for (int i = 0; i < pcPIDs; i++)
   
6. {

复制代码

1.         VMMDLL_PROCESS_INFORMATION ProcessInformation = { 0 };
   
2.         ProcessInformation.magic = VMMDLL_PROCESS_INFORMATION_MAGIC;
   
3.         ProcessInformation.wVersion = VMMDLL_PROCESS_INFORMATION_VERSION;
   
4.         SIZE_T pcbProcessInformation = sizeof(VMMDLL_PROCESS_INFORMATION);
   
5.         VMMDLL_ProcessGetInformation(handle, pPIDs[i], &ProcessInformation, &pcbProcessInformation);

复制代码

1. std::cout << pPIDs[i] << "---" << ProcessInformation.szName;

复制代码

1.         VMMDLL_MAP_MODULEENTRY* ppModuleMapEntry = nullptr;
   
2.         VMMDLL_Map_GetModuleFromNameU(handle, pPIDs[i], ProcessInformation.szName, &ppModuleMapEntry,VMMDLL_MODULE_FLAG_NORMAL);

复制代码

1. if (ppModuleMapEntry)
   
2.         {
   
3.                 std::cout << "---" << ppModuleMapEntry->uszFullName << std::endl;
   
4.                 if (ProcessInformation.szName == std::string("dwm.exe"))
   
5.                 {
   
6.                         std::cout << "IMAGE:"<<std::hex << ppModuleMapEntry->vaBase << std::endl;
   
7.                         ULONG temp = 0;
   
8.                         VMMDLL_MemRead(handle, pPIDs[i], ppModuleMapEntry->vaBase, (PBYTE)&temp, 4);
   
9.                         std::cout << "temp:" << temp << std::endl;
   
10.                         temp = 0;
    
11.                         VMMDLL_MemWrite(handle, pPIDs[i], ppModuleMapEntry->vaBase, (PBYTE)&temp, 4);
    
12.                         VMMDLL_MemRead(handle, pPIDs[i], ppModuleMapEntry->vaBase, (PBYTE)&temp, 4);
    
13.                         std::cout << "temp:" << temp << std::endl;
    
14.                 }
    
15.         }
    
16.         else
    
17.         {
    
18.                 std::cout << std::endl;
    
19.         }

复制代码

1. }

复制代码

1. typedef struct tdVMMDLL_PROCESS_INFORMATION {
   
2.     ULONG64 magic;
   
3.     WORD wVersion;
   
4.     WORD wSize;
   
5.     VMMDLL_MEMORYMODEL_TP tpMemoryModel;    // as given by VMMDLL_MEMORYMODEL_* enum
   
6.     VMMDLL_SYSTEM_TP tpSystem;              // as given by VMMDLL_SYSTEM_* enum
   
7.     BOOL fUserOnly;                         // only user mode pages listed
   
8.     DWORD dwPID;
   
9.     DWORD dwPPID;
   
10.     DWORD dwState;
    
11.     CHAR szName[16];
    
12.     CHAR szNameLong[64];
    
13.     ULONG64 paDTB;
    
14.     ULONG64 paDTB_UserOpt;                  // may not exist
    
15.     struct {
    
16.         ULONG64 vaEPROCESS;
    
17.         ULONG64 vaPEB;
    
18.         ULONG64 _Reserved1;
    
19.         BOOL fWow64;
    
20.         DWORD vaPEB32;                  // WoW64 only
    
21.         DWORD dwSessionId;
    
22.         ULONG64 qwLUID;
    
23.         CHAR szSID[MAX_PATH];
    
24.         VMMDLL_PROCESS_INTEGRITY_LEVEL IntegrityLevel;
    
25.     } win;
    
26. } VMMDLL_PROCESS_INFORMATION, *PVMMDLL_PROCESS_INFORMATION;
    
27. 
    

复制代码

同时VMMDLL_Map_GetModuleFromName这个函数还能获取模块地址以及模块大小等等信息

1. typedef struct tdVMMDLL_MAP_MODULEENTRY {
   
2.     QWORD vaBase;
   
3.     QWORD vaEntry;
   
4.     DWORD cbImageSize;
   
5.     BOOL  fWoW64;
   
6.     union { LPSTR  uszText; LPWSTR wszText; };              // U/W dependant
   
7.     DWORD _Reserved3;
   
8.     DWORD _Reserved4;
   
9.     union { LPSTR  uszFullName; LPWSTR wszFullName; };      // U/W dependant
   
10.     VMMDLL_MODULE_TP tp;
    
11.     DWORD cbFileSizeRaw;
    
12.     DWORD cSection;
    
13.     DWORD cEAT;
    
14.     DWORD cIAT;
    
15.     DWORD _Reserved2;
    
16.     QWORD _Reserved1[3];
    
17.     PVMMDLL_MAP_MODULEENTRY_DEBUGINFO pExDebugInfo;         // not included by default - use VMMDLL_MODULE_FLAG_DEBUGINFO to include.
    
18.     PVMMDLL_MAP_MODULEENTRY_VERSIONINFO pExVersionInfo;     // not included by default - use VMMDLL_MODULE_FLAG_VERSIONINFO to include.
    
19. } VMMDLL_MAP_MODULEENTRY, *PVMMDLL_MAP_MODULEENTRY;

复制代码

拿到MZ 完全没问题
至此关于DMA的体验就结束了 因为我那台华南X79的主板兼容性很差 所以我也没有继续深入的体验了

栈回潮:如果你喜欢我的帖子可以帮忙点个关注 https://github.com/DragonQuestHero
这样等我去面试的时候 人家只要点开了我的个人页面 看到如此多的关注 谁会不迷糊 至少面子是有了 你说对吧(狗头)

过去的事情可以不忘记，但一定要放下。

泥泞路上的奔驰，永远跑不过高速路上的夏利。说明：”平台很重要!”

涨姿势了

胆子不小啊，居然让我抢到了沙发！

现在很痛苦，等过阵子回头看看，会发现其实那都不算事。

楼主想办法，让咱的帖子火起来吧。。。。

是爷们的娘们的都帮顶！大力支持

沙发？？？

楼下的且行且珍惜！