什么是过驱动保护,驱动读写,驱动注入?
如题 :什么是过驱动保护,驱动读写,驱动注入?想要详细的了解下!度娘 有你想要的一切 驱动保护就是驱动层保护你的进程ID 驱动读写就是驱动层写人权限高一点驱动注入就是调起驱动层注入DLL比内存权限高一点稳定性就好一点 不懂......... 本帖最后由 lanshichao 于 2020-8-8 09:31 编辑
一群易语言大手子在吹牛逼。。。。。。。
windows系统下,程序分为 r0层和r3层(你可能会问r1 r2呢?不需要管,没有这俩r1 r2的概念),R0 被称作驱动层(内核层)R3被称作应用层(用户层)
内核层权限最高,运行在内核层的程序就叫:“驱动程序”,运行在用户层的叫:“应用程序”
一般常见的驱动程序有很多,有的是系统本身的一些组成部分,有些是其他软件公司的服务,比如:C:\Windows\System32\drivers下你可以见得到很多.sys文件,这些就是驱动文件
驱动和exe dll一样,都被称作pe文件。但是sys只能装载到内核中,拥有系统同级别的最高权限。
驱动与普通应用程序的其他区别还有:在一般的为开启测试模式的电脑上,未经过正规签名的sys不可加载(除非利用0day漏洞,但是这种漏洞轻易不会有且价值非常高),只有经过微软提供的签名文件进行签名后,才可以被加载。
驱动程序开发,技术要求高,一般用c语言开发,会写的人较少,公开资料少,开发过程中蓝屏是最常见的
那驱动保护、驱动读写、驱动注入分别是啥?
驱动保护:由驱动给你的exe程序提供保护,它会在内核层将对你程序进行的恶意行为拦截掉或者屏蔽掉,也就是使用r0权限对r3下的程序进行保护。常见的保护有防止进程被读写。
大部分游戏所采用的驱动保护就是这种,比如be tp eac。他们就是驱动保护提供商。使用r0权限对r3下的游戏进行保护,防止游戏内存被 软件读写。但是 软件为什么也要驱动保护?
原因是:反作弊会采集和定位 软件的特征码,想要采集和定位特征码就要读取内存中存放的代码段数据。当进程被保护起来后就不怕特征定位了。
驱动读写:驱动是运行在r0的,所以可以很好的实现读取游戏内存的行为, 软件通过驱动对经过保护的游戏进行读写。
驱动注入:易语言大手子首先要明白什么是注入,在应用程序里dll也是应用程序,它与exe没有本质区别,但是exe可以创建一个进程,dll却不行。exe创建出进程后可以调用dll进自己的进程空间,这是主动调用,有的时候是为了使用dll里提供的一些函数、子程序。但是dll中有个叫dllmain的函数,它和exe中的main(易语言中叫:主程序)意义一样,这个main函数会在dll被加载时被执行,所以把恶意代码写到dllmain里然后等待它被游戏加载就好,但是游戏为啥要加载你的dll?有病吗?所以你需要强行让游戏加载你的dll,也就是注入。注入又会分成远线程注入、apc注入、导入表修改注入等等。
注入有什么好处呢?
首先:dll运行在游戏进程内,内存与游戏共享,可以方便的读取游戏内存而不需要通过读写函数,c语言一般是通过指针读取,e语言没有指针概念。对了,e语言只支持32位,如今的游戏都是64位 32位dll无法注入到64位进程中。所以想写注入 必须C/C++。
其次:注入后可以hook游戏绘制函数,实现内部绘制。效率杠杠的。比外部绘制的效率高,与游戏帧率保持一致,不会闪烁和托框
驱动注入:“使用r0层权限对目标进程注入dll”。具体实现方式每个驱动提供商都不太一样
楼主结贴吧,这都不懂可以回家读完小学了 驱动级的程序是操作系统内优先级最高的程序,它可以获得内核级的系统优先权,可以先于普通应用程序启动并获得系统控制权。
就是电脑中最底层的一些关于内存的操作
回复拿海币 看到 那个冰什么的几把说的全是废话百度 跟 权威论坛 有你需要的挂海简称 小学海 里面全是小学生 跟圈钱狗骗子 小心不要给骗总之 那个冰什么的傻逼 是骗子 就对了 回复拿海币
页:
[1]
2