Game Security

前置条件：关闭KVAS 注入 一个基本事实：在进程的地址空间中其实是映射了内核空间的，通过页表的User位确定用户态是否可访问，来实现用户态和内核态的隔离；题外话，Meltdown漏洞通过测信道的方式破除了这一隔离，因此后续引入了KVAS(或称KPTI)机制彻底隔离用户态和内核态。 ...

前言 各大论坛、博客讲利用NMI插中断检查堆栈的时候普遍有一个错误：在NMI回调中直接调用了RtlWalkFrameChain或者RtlCaptureStackBackTrace。比如R0g大佬这里百密一疏：[原创]2024鹅厂游戏安全技术竞赛决赛题解-PC客户端-CTF对抗-看雪论坛-安全社区|非营利性质技术交流社区 ...

什么是PTE Hook 常规的inlineHook思路是直接修改目标函数的代码，使其先执行我们自己的函数，再跳转回来执行原函数。这种Hook是全局的，即Windows中每一个进程一旦调用被Hook的函数，就会受到我们的影响，也很容易被PatchGuard检查到。 ...