Attualmente sto effettuando ricerche su attacchi di memoria per giochi su Windows 7/10.
Dopo aver esaminato diversi thread su questo argomento, ci sono alcune domande che non sono ancora chiare.
-
L'iniezione di DLL può essere facilmente rilevata utilizzando l'introspezione. Anche se si aggiustano e firmano una DLL esistente, SHA1 non corrisponderà e genererà bandiere rosse, supponendo che il client di gioco abbia rilevato tutto ciò. Corretto?
-
L'iniezione di memoria può essere utilizzata per iniettare codice malevolo, tuttavia questo può essere ottenuto apparentemente solo utilizzando un modulo del kernel firmato poiché lo spazio di memoria è protetto dalla lettura / scrittura da parte di altri processi. Corretto?
-
Se un modulo del kernel viene utilizzato per iniettare nella memoria di un processo, il processo è in grado di rilevarlo? Ad esempio, diciamo che c'è una stringa in memoria che punta a un percorso del disco (
/conf/something.cnf
), se questo è stato sovrascritto con una stringa con la stessa lunghezza esatta, il processo sarebbe in grado di rilevare che la memoria è stata sovrascritta?