这是一个完全基于 NT API 的注入器,不依赖 Win32 API。它使用了以下函数:
NtOpenProcess; NtAllocateVirtualMemory; NtWriteVirtualMemory; NtCreateThreadEx; NtClose; NtWaitForSingleObject; LdrLoadDll; LdrGetProcedureAddress; LdrGetDllHandle; NtReadVirtualMemory; NtProtectVirtualMemory; NtSuspendThread; NtResumeThread; NtGetContextThread; NtSetContextThread; NtOpenThread; NtQuerySystemInformation;
我们没有使用 GetProcAddress,而是改用 LdrGetProcedureAddress。但如何获取ntdll.dll的基址呢?
答案是遍历 PEB(进程环境块)并手动解析每个函数。
核心功能
基于 NT API 的注入
通过 PEB 枚举模块
手动解析导出函数
支持x64架构
自动注入功能
配置文件系统
测试环境
测试环境
系统:Windows 11 25H2
目标进程:notepad.exe 和 bloodstrike(测试用)
新手常见问题
Q:这个能绕过反作弊吗?
A:取决于反作弊系统本身,但简短回答:无法绕过 Easy Anti-Cheat (EAC) 或 BattlEye。
版本更新日志
@ 版本 1.2.1 x64
新增 配置文件系统
手动映射(Manual Map) 功能暂因漏洞移除
@ 版本 1.1.1
修复 x64 LdrStub 问题
优化 存根内存权限 设置
改进 导出表解析器(ExportResolver)
新增 对x86进程的支持
