利用内存锁定技术防止CE修改

利用内存锁定技术防止CE修改

通过这种在R3环利用的技术，我们可以来达到保护内存的目的，像VirtualProtect等函数来修改页属性根本无法修改。

而CE修改器推测应该使用VirtualProtect来修改页属性，从而可以修改内存。

 

当然，这种技术在R0层面是可以修改的（当然修改起来也有一定难度）

 

原理这里先说明自己还不太清除，但弄清楚之后会补上的。

 

先展示源代码，后展示效果

// 内存锁定.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <stdio.h>
#include <Windows.h>
#include <stdlib.h>

#define InitializeObjectAttributes( p, n, a, r, s ) { \
    (p)->Length = sizeof( OBJECT_ATTRIBUTES );          \
    (p)->RootDirectory = r;                             \
    (p)->Attributes = a;                                \
    (p)->ObjectName = n;                                \
    (p)->SecurityDescriptor = s;                        \
    (p)->SecurityQualityOfService = NULL;               \
    }
typedef struct _UNICODE_STRING {
    USHORT Length;
    USHORT MaximumLength;
    PWSTR  Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef struct _OBJECT_ATTRIBUTES {
    ULONG           Length;
    HANDLE          RootDirectory;
    PUNICODE_STRING ObjectName;
    ULONG           Attributes;
    PVOID           SecurityDescriptor;
    PVOID           SecurityQualityOfService;
}  OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES;

typedef  DWORD (WINAPI*ZwCreateSectionProc)(
    PHANDLE            SectionHandle,
    ACCESS_MASK        DesiredAccess,
    POBJECT_ATTRIBUTES ObjectAttributes,
    PLARGE_INTEGER     MaximumSize,
    ULONG              SectionPageProtection,
    ULONG              AllocationAttributes,
    HANDLE             FileHandle
);

typedef enum _SECTION_INHERIT {
    ViewShare = 1,
    ViewUnmap = 2
} SECTION_INHERIT;

typedef DWORD (WINAPI *ZwMapViewOfSectionProc)(
     HANDLE SectionHandle,
     HANDLE ProcessHandle,
     PVOID *BaseAddress,
     ULONG_PTR ZeroBits,
    SIZE_T CommitSize,
     PLARGE_INTEGER SectionOffset,
 PSIZE_T ViewSize,
     SECTION_INHERIT InheritDisposition,
    ULONG AllocationType,
    ULONG Win32Protect
);
int main()
{
    HMODULE h = LoadLibraryA("ntdll.dll");
    ZwCreateSectionProc ZwCreateSection = (ZwCreateSectionProc)GetProcAddress(h, "NtCreateSection");
    ZwMapViewOfSectionProc ZwMapViewOfSection = (ZwMapViewOfSectionProc)GetProcAddress(h, "ZwMapViewOfSection");
    HANDLE SectionHandle;
    LARGE_INTEGER MaximumSize = { 0 };
    MaximumSize.QuadPart = 0x10000;
    OBJECT_ATTRIBUTES obj = { 0 };
    InitializeObjectAttributes(&obj, NULL, 0x40, 0, 0);
    DWORD error = ZwCreateSection(&SectionHandle, SECTION_ALL_ACCESS, NULL, &MaximumSize, PAGE_EXECUTE_READ, SEC_COMMIT, NULL);
    PVOID BaseAddress = NULL;
    SIZE_T ViewSize = 0;
    error = ZwMapViewOfSection(SectionHandle, GetCurrentProcess(), &BaseAddress, 0,
        0x10000, NULL, &ViewSize, (SECTION_INHERIT)1, 0, PAGE_EXECUTE_READ);
    printf("%x,%x\r\n", BaseAddress, SectionHandle);
    DWORD p = 0;
    error = VirtualProtect(BaseAddress, 0x10000, PAGE_EXECUTE_READWRITE, &p);
    system("pause");
    return 0; 
}

 

 

1. 代码运行结果：

2. 使用CE来修改

　　1）用CE附加。

　　2）查看内存。

　　　　

　　3）点击“视图 -> 内存区域”。

　　　　

 　　4）选中目标区域内存，左键修改，则明显无法修改。

　　　　

3. 同时根据内存属性可以看到，其使用 VirtualProtect 将内存页属性置为 PAGE_EXECUTE_READWRITE, 明显无效。

　　1）代码修改的

　　　　

　　2）内存显示的

　　　　

4. 后记：其实这种技术在R0层是可以修改的，之后我们会详细介绍。