EDR的梦魇：Storm-0978使用新型内核注入技术“Step Bear”

显示全部楼层 · 发表于 2024-4-23 17:49:16

本帖最后由 00006666 于 2024-4-23 19:00 编辑

DisaPDB 发表于 2024-4-23 17:43
有可能是利用自删除、清空PiDDBlock、PiDDBCacheTable以及KernelHashBucketList用来隐藏驱动加载过的痕迹 ...

它那个不是，人家那种是用驱动，注入dll模块，或者线程劫持无模块注入等，来绕反作弊针对注入的检测，反作弊那边检测各种注入，检测驱动隐藏之类的比杀软严格，对抗很激烈

显示全部楼层 · 发表于 2024-4-23 17:54:58

本帖最后由 DisaPDB 于 2024-4-23 17:56 编辑

00006666 发表于 2024-4-23 17:49
它那个不是，人家那种是用驱动，注入dll模块，或呦叱探俪治弈？樽⑷氲龋慈品醋鞅渍攵宰⑷氲募觳猓� ...

emm……分配内存后然后将加载的 DLL 的代码复制到内存中，再复制到原 DLL 的基址处从而达到不保留痕迹的效果吗

显示全部楼层 · 发表于 2024-4-23 18:01:37

DisaPDB 发表于 2024-4-23 17:54
emm……分配内存后然后将加载的 DLL 的代码复制到内存中，再复制到原 DLL 的基址处从而达到不保留痕迹的 ...

具体的没怎么了解过，但是目前很多绕反作弊都是这种，你问问他@tdsskiller

显示全部楼层 · 发表于 2024-4-23 18:02:52

本帖最后由 00006666 于 2024-4-23 18:04 编辑

DisaPDB 发表于 2024-4-23 17:43

不过你去搜一下，目前很多方法，有些公开的可以搜的到

显示全部楼层 · 发表于 2024-4-23 18:04:57

00006666 发表于 2024-4-23 18:02
不过你去搜一下，目前很多方法，有些公开的可以搜的到

我能想到的思路出了上面那个内存基址复制就是Memory PEloader了
这些都过不了内存扫描

显示全部楼层 · 发表于 2024-4-24 01:08:56

00006666 发表于 2024-4-23 18:01
具体的没怎么了解过，但是目前很多绕反作弊都是这种，你问问他@tdsskiller

不懂帮顶，这种玩意只能让大手子鉴定了
补充：yysy非外部驱动漏洞用于注入或者执行恶意代码于游戏作弊早有了

显示全部楼层 · 发表于 2024-4-24 01:09:28

有样本的hash么家人们

显示全部楼层 · 发表于 2024-4-24 01:10:07

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2024-4-24 15:27:31

xiaxiang 发表于 2024-4-24 01:10
感觉很像很久以前听闻过这种手法

显示全部楼层 · 发表于 2024-4-24 15:32:04

xiaxiang 发表于 2024-4-24 01:10
感觉很像很久以前听闻过这种手法

请勿二连回复～

[其他相关] EDR的梦魇：Storm-0978使用新型内核注入技术“Step Bear”