這幾天一直在研究NP,話說NP是這個世界上最WS,最惡心的東東之一,關(guān)于內(nèi)存,他HOOK了以下函數(shù)
NtOpenProcess -inline
NtReadVirtualMemory-inline
NtWriteVirtualMemory-inline
KeAttachProcess-inline
KiAttachProcess- inline
KeStackAttachProcess -inline
1,首先試著恢復(fù)下INLINE,NP重啟...
2,那再試下修改inline指向的np驅(qū)動(dump_wmimmc.sys)中的代碼,游戲重啟....
3,看樣子他修改過的代碼都被監(jiān)視了,那不動他的代碼
4,修改SSDT,把NtOpenProcess換成自己的代碼,在函數(shù)頭實(shí)現(xiàn)原NtOpenProcess的前幾個字節(jié),再跳回原NtOpenProcess,這樣 NtOpenProcess的inline就失效了,試了下,效果很好,不過,據(jù)wowocock大牛說,這東東的最新版本會監(jiān)視SSDT,呃。。。那就 不爽了
5,那試下自己實(shí)現(xiàn)NtOpenProcess跟NtRead/Write,調(diào)用自己的KeAttachProcess來讀內(nèi)存,效果不錯
下面讀泡泡主進(jìn)程CA.exe的ntdll.dll開始字節(jié):
呵呵,讀成功了,開始字節(jié)是標(biāo)志"MZ".............