|
[原创]对韩国原装X游戏的服务器端及客户端加固
来这坛子就是为了交流。如果有同道,方便交流。本人不常上论坛,也不常上Q,如果通过论坛短信找我要Q,需要等几天,通过Q找我,又需要等几天,所以直接留Q |
|
|
|
[求助]如果int1被hook了,od会怎样?
int 1 发生后,是首先由R0 的 KiTrap01来处理的,然后决定是ContinueSearch还是Handled再Dispatch。 所以,假如int1 Handled,该Exception是到不了OD的。 |
|
[求助]有人研究NP(nProtect GameGuard)没?
在搞底层这种场合,已经有VC的基础了。还非要把技术照搬到VB。我只能说楼主吃饱了撑的。 |
|
[求助]DIY调试器怎么忽略异常
Jmp OrigHandler |
|
[求助]强悍的 N P ————隐藏的进程!
呵呵,我本不玩DNF,不过,看了你8-30发的帖子《D N F ---- VMware Workstation双开。主机蓝屏!》,让我对TX的变态的保护产生了兴趣。稍微做了下研究,有点点心得。但是不想给TX的狗腿南山法院制造麻烦,所以就不公开讨论了。 如果楼主真有兴趣,可以和我联系。(收费的) DNF的Anti,有几个地方要处理。有自校验及API校验,校验的频率是令人愤怒的(知道机器为什么慢了吧?)。 KO Anti以后,如果要调试,还要再处理一下,(目前我用OD和windbg都可以调试DNF,调试1-2个小时,杀N个Boss都没问题,也可以Dump静态分析) 调试完后要做产品,还要再处理一些东西。目前我已经对DNF加密/解密/校验函数做了初步分析,(其他的,等我有空闲的话再深入) 总之,如果你完全去掉了Anti,要做WG还需要很多工作。 (所以,我为什么对于DTDebug骗人很反感,他1是剽窃别人的成果,2是价格虚高,3是吹Anti无所不能,却完全不提过了Anti后的工作量有多大) |
|
[求助]假如用Dr 调试寄存器对内核空间下硬件断点 会怎么样呢?
驱动程序的Thread可以暂停,但是,如果你要对系统任意Thread都可暂停可交互的话,势必要用到一些显示,键盘或者网络的sys,于是这就就导致了线程被暂停无法交互,而停下来的Thread又无法收到继续执行的命令,于是就死锁了。 所以,要调试sys,关键要处理好可暂停的Thread和不可暂停的Thread。一些与交互有关的Native API要绕过,否则如果断点在该Native API就不好玩了。 楼主爱学习是好事,不过,似乎问的多了些,如果自己动手尝试多一些,查资料多一些会更好。 |
|
|
|
[原创]精确区分windows内核Image文件
又更新了,请大家看看。 |
|
[原创]精确区分windows内核Image文件
恩,谢谢大家的关心和指正。 |
|
[原创]精确区分windows内核Image文件
谢谢,已经修正文章了。 |
|
[原创]精确区分windows内核Image文件
从其关联的pdb角度来说,我们可以说“磁盘上的文件不是ntkrnlpa.exe而是ntkrpamp.exe” |
|
[原创]精确区分windows内核Image文件
在你的语境中所假设的那种情况下,磁盘上的内核文件,其文件名是ntkrnlpa.exe,但其实质(包括里面的函数,及我们需要使用的pdb)是ntkrpamp.exe(ntkrpamp.pdb) 我的意思是说,PsLoadedModuleList获得的内核名字,不是我们实际要Load的pdb名字,所以,我们应该去解析PE结构,得到InternalName和FileVersion,由这2个东西来确定具体的pdb。 当然,用API也可以获得InternalName和FileVersion,但是做ARK的时候,能自己实现的函数,如果并不复杂的话,当然要自己实现。 如果有误解,偶在这里道个歉,呵呵。 |
|
|
|
[原创]精确区分windows内核Image文件
以我的机器为例,XP SP3 gdr PAE 多核 PsLoadedModuleList获取短名字是:ntoskrnl.exe 长名字是:sys32\ntkrnlpa.exe 而实际上,真正的内核Image是ntkrpamp.exe 这点区别,在Load Image做PE解析的时候,并不重要,但是在涉及.pdb的时候,却很重要 调用.pdb来解析的时候,也应该是根据ntkrpamp.exe来Load .pdb解析 在多核(或从多核降低到单核)环境下,C:\WINDOWS\system32\ntkrnlpa.exe的确是C:\WINDOWS\system32\ntkrpamp.exe,但其.pdb却与ntkrnlpa.exe无关,应该根据ntkrpamp.exe和其版本号来确定,即ntkrpamp.exe+5.1.2600.5755 (xpsp_sp3_gdr.090206-1234)唯一确定真实Image 截个图给大家看一下,windbg的symbol缓存,也是分得如此清楚的,乱了就载入错误的pdb了,所以我们才要精确区分内核文件。 |
|
[原创]精确区分windows内核Image文件
大牛,麻烦多提示一些 |
|
[原创]精确区分windows内核Image文件
以上是偶的ARK工具中的部分代码。所以直接分析,避开常用方式居多。 |
|
[原创]精确区分windows内核Image文件
谢谢提醒。呵呵 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值