Loli可爱的小屋

友情链接
oxygen

反作弊技巧

基于CPU缓存的隐蔽进程通讯
外部读写检测:内存访问时序侧信道
伪造CR3保护的那些事

音乐

Rage Beneath the Mountains 岩壑之崩
万象霜天
不问天
夜光杯
TH讠NK

演示文章

SnowGuard 报错代码
攻击CheatEngine DBVM调试
创建线程就能发现调试器
SnowGuard 之检测隐藏进程篇
360晶核防护,第二弹
360晶核保护-浅谈实现原理-深入检测并让其失效
[WIN10 20H2] KiSystemCall64 Hook
WIN7-NtMapViewOfSection->SectionObject

Anti Debug

Windows 基于调试器引擎缺陷引发的调试陷阱
ThreadHideFromDebugger AntiDebug
一字节秒“伪调试”
分析"伪调试"原理-对抗
RTL_USER_PROCESS_PARAMETERS Anti-Debugging
我是如何检测硬件断点的-
Ring3 Anti ARK(PChunter)x32_x64
NtSetInformationThread的引用

PatchGuard

[Win11 22621] PatchGuard攻击思路
Windows 11 几率出现的多重加密PatchGuard
[WIN10 20H2] 可能存在调用PatchGuard Context的位置
[WIN10 20H2] 搜索加密的PatchGuard Context
[WIN10 20H2] PatchGuard蓝屏分析
[WIN10 20H2] 动态调试PatchGuard

WIN64 驱动保护

所谓的WIN64全平台支持的内核线程隐藏？
快速触发PatchGuard 0x109
内核[一] X64 HideFromDebugger分析 & 对抗

Proof of Concept

如何让窗口在截图录制时透明win7-win10

逆向分析

是什么导致了运行中的进程DirectoryTableBase(CR3)变动
[Windows] 如何写出一个优秀的异常中断补丁
是否可以使用 Synthetic MSRs 检测虚拟机管理程序
R3监视内存页是否被访问，写入
解决 wow64 调用NtGetContextThread 无法获取CONTEXT
调试函数DebugActiveProcess 分析
Patch Shielden2.4

NtSetInformationThread的引用

o(*^▽^*)┛

狐白最后一次编辑大约 4 年前

350

ThreadInformationClass=ThreadHideFormDebugger

ThreadHandle=>1

ThreadInformation=0

ThreadInformationLength=0

以上成立时用上Sharpod 和SOD Kernel会有奇效

NtSetInformationThread的引用

邮箱 1069819564@qq.com QQ 1069819564