【易首发】R3保护自己的代码段不被修改，直接废掉WriteMemory

zlw8504

感谢楼楼分享！！！

小娃一米六

66666666666666666666

zzccll

66666666666666666666

2446789312

.版本 2

.子程序 线程_取线程信息, 类型_线程信息型, , 根据线程ID 获取该线程的信息例如：线程ID对应的 模块入口.模块路径,所在进程ID
.参数 线程ID, 整数型
.局部变量 局部变量_1, 整数型
.局部变量 局部变量_2, 类型_线程信息型
.局部变量 局部变量_3, 结构_1
.局部变量 局部变量_4, 整数型

局部变量_2.线程ID ＝ 线程ID
局部变量_1 ＝ OpenThread (2032639, 0, 线程ID)
.如果真 (局部变量_1 ≠ 0)
    ZwQueryInformationThread (局部变量_1, 9, 局部变量_2.线程入口, 4, 0)
    ZwQueryInformationThread1 (局部变量_1, 0, 局部变量_3, 28, 0)
    局部变量_2.进程ID ＝ 局部变量_3.匿名成员_3.匿名成员_1
    .如果真 (局部变量_2.线程入口 ≠ 0)
        局部变量_4 ＝ 进程_打开 (局部变量_2.进程ID)
        .如果真 (局部变量_4 ＝ 0)
            局部变量_4 ＝ 进程_打开 (局部变量_2.进程ID)
        .如果真结束
        .如果真 (局部变量_4 ≠ 0)
            局部变量_2.模块名 ＝ 取空白文本 (512)
            .如果真 (GetMappedFileNameA (局部变量_4, 局部变量_2.线程入口, 局部变量_2.模块名, 512) ＝ 0)
                局部变量_2.模块名 ＝ “”
            .如果真结束
            CloseHandle (局部变量_4)
        .如果真结束

    .如果真结束
    CloseHandle (局部变量_1)
.如果真结束
返回 (局部变量_2)

Unsped

需要HOOK什么系统函数吗

tsl0413

开源精神必须支持~

Optimal

支持一下666666

yxl2008

谢谢分享！！！

亿人不及一人

那shellcode是不是就可以保护自己了

蒙顺童

666666666666666