第一章：关于某F的虚拟化内存机制。

左右

大家好，我是左右，开发与学习Intel-VT物理芯片组驱动程序有3~4年了。内存虚拟化，本来是微软为了优化老旧硬件的用户运行windows系统性能的一个分流内存储存管理器。


没想到却成了某F的验证内存数据的“依赖系统”。
看来TP已经黔驴技穷。
TP（TenProtect）安全系统下的分支：ACE是如何工作的呢？
经过分析,进程“crossfire.exe”首次激活后，顺序执行以下操作：
1.打开函数：CreateServiceA 获取驱动对象表，OpenServiceA查询驱动服务项，搜索设备：“ACE-GAME”是否存在。
2.若存在，游戏进程“crossfire.exe” ID则会更改，不存在则会重新安装此驱动，路径“游戏路径\x64\ACE-GAME.sys”
3.“游戏路径\x64\ACE-GAME.sys”管理ACE反作弊系统主要环，由它运用r0权限分配在系统经过预启动和启动阶段后进入内核调用阶段时由 Ntldr 调用 ntoskrnl.exe
4.载入NT二进制代码后，调用/fastdetect /noguiboot对游戏内存进行虚拟化压缩（也就是这个点，导致常规R0,R3操作指令无法对其进行内存分配与调用。）
.........
到了这一步。我们知道TP子系统ACE的主要脚是“x64\ACE-GAME.sys”，我们能不能不让它安装，这样就可以可以达到所谓的破虚读？当然，这不行的。因为“crossfire.exe” 会调用一个最重要的函数来验证（不宜公开。）发现返回不符合，游戏就会出现运行错误，或者无响应。

既然我们不能阻止ACE正常运作，那我们可以从系统上入手？最开始我也是这样想的，以下是我最初的操作，却发现了一个重要的问题：
1.crossfire.exe是以当前的用户运行，那么它也只有我当前系统用户的权限。
2.我们以管理员运行CMD输入以下代码
CMD.EXE /C TAKEOWN /F C:\WINDOWS\SYSNATIVE\NTOSKRNL.EXE（*第一把：文件安全权限所有权移交给当前操作用户）
ECHO Y|CMD /C CACLS.EXE C:\WINDOWS\SYSNATIVE\NTOSKRNL.EXE /G SYSTEM:F (*第二步：除了System外，所有用户拒绝访问调用。ECHO Y|为管道输出，默认自动按Y。不输入这个则需要手动按Y同意执行)

输入这些命令后，我们在重新上游戏，发现“crossfire.exe”创建进程后，进行内存读取测试，发现竟然可以读了。
但是想了下，大厂不能这么随意，没加检测。果然！游戏不出半小时。闪退了！！！！

能存活半小时？也不封号？那么就很有意思了。
既然我改系统文件能破你的虚拟内存加密，又不存在封号的风险，我又何必动脑去搞你的ACE检测驱动。
我就在想，存活半小时才闪退。那么你肯定有东西有线程检测。
于是，我开始分析，究竟是什么东西知道我修改了系统文件权限。
终于，，，，被我发现了。
只要我在限制另外一个系统文件的权限，ACE就会存在一个半死状态。
我们以管理员运行CMD输入以下代码：

游客,本付费内容需要支付 20海币 才能浏览支付

联系我时，请说是在 挂海论坛 上看到的，谢谢！

首席研究员

联系我时，请说是在 挂海论坛 上看到的，谢谢！

w54662316

我们以管理员运行CMD输入以下代码：

167367776

出书吧 我跪着看

917537158

nmb你不去写小说都白瞎了