免费在线观看日韩欧美,久久男人av资源网站,美女在线一区二区

繞過(guò)nProtect[NP]讀寫受保護(hù)進(jìn)程內(nèi)存

Posted on 2009-09-24 11:14 S.l.e!ep.￠% 閱讀(3113) 評(píng)論(1) 編輯收藏引用所屬分類: Crack

繞過(guò)nProtect[NP]讀寫受保護(hù)進(jìn)程內(nèi)存

2008-10-30 13:28

這幾天一直在研究NP，話說(shuō)NP是這個(gè)世界上最WS，最惡心的東東之一，關(guān)于內(nèi)存，他HOOK了以下函數(shù)
NtOpenProcess -inline
NtReadVirtualMemory-inline
NtWriteVirtualMemory-inline
KeAttachProcess-inline
KiAttachProcess- inline
KeStackAttachProcess -inline

1，首先試著恢復(fù)下INLINE，NP重啟...

2，那再試下修改inline指向的np驅(qū)動(dòng)(dump_wmimmc.sys)中的代碼，游戲重啟....

3，看樣子他修改過(guò)的代碼都被監(jiān)視了，那不動(dòng)他的代碼

4，修改SSDT，把NtOpenProcess換成自己的代碼，在函數(shù)頭實(shí)現(xiàn)原NtOpenProcess的前幾個(gè)字節(jié)，再跳回原NtOpenProcess，這樣 NtOpenProcess的inline就失效了，試了下，效果很好，不過(guò)，據(jù)wowocock大牛說(shuō)，這東東的最新版本會(huì)監(jiān)視SSDT，呃。。。那就不爽了

5，那試下自己實(shí)現(xiàn)NtOpenProcess跟NtRead/Write，調(diào)用自己的KeAttachProcess來(lái)讀內(nèi)存，效果不錯(cuò)
下面讀泡泡主進(jìn)程CA.exe的ntdll.dll開(kāi)始字節(jié):

呵呵，讀成功了，開(kāi)始字節(jié)是標(biāo)志"MZ".............

Feedback

# re: 繞過(guò)nProtect[NP]讀寫受保護(hù)進(jìn)程內(nèi)存[未登錄](méi) 回復(fù) 更多評(píng)論

2009-10-19 17:24 by foxriver

吐血啊，自己來(lái)實(shí)現(xiàn)NtOpenProcess? 有這水品，干脆轉(zhuǎn)行開(kāi)發(fā)操作系統(tǒng)算了！

刷新評(píng)論列表

只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。
【推薦】100%開(kāi)源！大型工業(yè)跨平臺(tái)軟件C++源碼提供，建模，組態(tài)！

相關(guān)文章: OD Q&A 反調(diào)試技巧總結(jié)-原理和實(shí)現(xiàn) 對(duì)其它函數(shù)以及自身函數(shù)中的軟斷點(diǎn)(OD)進(jìn)行檢測(cè) 失業(yè)的娛樂(lè)-IDA逆向工程入門(一)(二)(三)(四) 8088 匯編跳轉(zhuǎn) 突破QQ2009的nprotect鍵盤加密技術(shù) 突破游戲驅(qū)動(dòng)級(jí)反外掛保護(hù) 標(biāo) 題: 【翻譯】[12月專題]TheMida_defeating_ring0 反（調(diào)試/跟蹤/脫殼）技術(shù)集錦軟件保護(hù)殼技術(shù)專題 - 反調(diào)試器技術(shù)

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問(wèn) Chat2DB 管理

S.l.e!ep.￠%

繞過(guò)nProtect[NP]讀寫受保護(hù)進(jìn)程內(nèi)存

Feedback

# re: 繞過(guò)nProtect[NP]讀寫受保護(hù)進(jìn)程內(nèi)存[未登錄](méi) 回復(fù) 更多評(píng)論

日歷

公告

常用鏈接

留言簿(5)

隨筆分類(1107)

隨筆檔案(1098)

文章檔案(1)

相冊(cè)

收藏夾(3)

DataStruct

搜索

積分與排名

最新評(píng)論

閱讀排行榜

評(píng)論排行榜