計算機概論Lab-6
Processes
https://hackmd.io/@IMOK/Lab6
講師: 賴昱有
Quick hide
快速隱藏 Windows工作列中所有開啟的檔案、程式等。
為什麼要這麼做? 也許你正在做一些不應該做的事情(?
你的父親或老闆進來了。
QuickHide 可以成為你的救星
QuickHide.exe 在背景運行。
您可以在任務管理器中看到它,但不會顯示在通知區域中。
僅適用Win7,Win8.1,Win10
下載: https://www.thewindowsclub.com/hide-taskbar-processes-and-applications-quickly-with-quickhide
how to use?
若要隱藏程序,請按鍵盤上的右或左 CTRL 鍵。
若要顯示程序,請按鍵盤上的右或左 SHIFT 鍵。
End以退出.exe,結束quickhide背景執行
選擇想要hide的processes
點選設定,看個人習慣可自行勾選是否開機即起用
可自行更改Hide& Show的 hotkey,不建議使用kill詳情請閱讀Warning
右下角,右鍵點選icon,選擇exit結束.exe的背景執行
Security Task Manager
在 Windows 系統上,您可以開啟工作管理員並查看正在執行的程序。
但有些程序被隱藏起來並沒有顯示,
Security Task Manager可以幫助你查看他們(被隱藏的程序),並提供程序駐留在哪裡、
誰製造了它們、它們的名稱是什麼、它們是否包含隱藏組件等資訊。
此外,您可以將程序隔離或在網際網路上搜尋有關該程序的資訊。
可以勾選想要顯示的資訊
Intervening Memory
Intel處理器使用little endian分配內存,即最高有效位元組位於較低位址。
考慮下面的程式碼實作一個簡單的猜數字遊戲。
使用Cheat Engine v6.8.1工具鎖定程序內存,嘗試檢查內存以1 guess獲勝。
載點:https://file.gdaily.org/625-2/
選擇正在執行的.exe開啟
guess = 50 讓memory有資料可以被偵測
scan已找到在memory中的value為50的address
guess = 100 讓memory資料被更動
已確定input在memory中的address
start : 0x0061FE18(address)
4 byte integer(0x0061FE18 to 0x0061FE1B)
data : 0x64000000 (big endian)
Intel CPUs store : 0x00000064(little endian)
找到input的位址之後我們可以大膽的假設,answer應該儲存在我們的輸入附近,
並且對於大多數Intel編譯器來說,分配的記憶體與電腦程式碼的順序相反。
所以接下來的 4 個位元組 0x0061FE1C to 0x0061FE1F這4個位元組
answer : 0x00006D5F,即27999 ( little endian )
我們確認了answer的位址之後,我們只需要一次猜測就可以得到答對囉!
answer : 0x0000157C,即5500 ( big endian )
Scanning and Modifying Memory Contents
一開始我們只會有3條命,我們來嘗試讓他變成99,就不必擔心會game over了
「生命」數(在遊戲的開頭是 3)
我們在搜尋目標中輸入值“3”並按掃描。 你
應該會看到如下圖所示的內容以及許多帶有該值的位址「3」
掃描完成後,返回 SMC 並自殺。 剩下2條命。
使用這個值作為下一次掃描
第二次掃描後,符合的位址會減少。
再次自殺並使用數值「1」掃描,我們找到了存放生命值的位址
更改完成後回到遊戲中,現在我們有了99條命了
Reading and Identifying Memory Contents
對於大多數計算機程序,喜歡將變數放在一起。
我們可以嘗試識別一些其他資訊來進行更改。
SMC還有其他屬性,例如收集的硬幣數量和當前分數。
我們將金幣及分數對調後再回到遊戲中
Lab Questions
Question 1
- Open SMC.
- Show the TA you can hide SMC and reveal it.
- In addition, locate the process of Quick Hide using the task manager in windows and tell the TA how much memory is it using.
You only need to complete it by Quick hide or WinVisible.
Question 2
Execute Security Task Manager using “Administrator” privileges.
How many “extra” process are found compared to the normal windows task manager?
Save the process table to a file. How many “Toolbars” applications are running on your computer?
Question 3
Show the TA you can always win the guessing game in 1 try
(without modifying the source code).
Question 4
For the following piece of computer code, it is much harder to lock into the address of the solution.
Can you explain why?
Question 5
For the game intervention:• Lock the number of life of your character to 60 life.
• Lock the number of coins of your character to 90.
• Set your current score to 1234567.
• Freeze the current playing time to 0:10.