Ta的论坛

[原创]反NP监视原理(+Bypass NP in ring0)
这种方法适用于代码比较简单的系统函数。下面我们看看keybd_event的函数源码
8BFF          MOV EDI,EDI                            ; USER32.keybd_event
55             PUSH EBP
8BEC          MOV EBP,ESP
83EC 1C       SUB ESP,1C
8B4D 10       MOV ECX,DWORD PTR SS:[EBP+10]
8365 F0 00    AND DWORD PTR SS:[EBP-10],0
894D EC       MOV DWORD PTR SS:[EBP-14],ECX
66:0FB64D 08 MOVZX CX,BYTE PTR SS:[EBP+8]
66:894D E8    MOV WORD PTR SS:[EBP-18],CX
66:0FB64D 0C MOVZX CX,BYTE PTR SS:[EBP+C]
66:894D EA    MOV WORD PTR SS:[EBP-16],CX
8B4D 14       MOV ECX,DWORD PTR SS:[EBP+14]
894D F4       MOV DWORD PTR SS:[EBP-C],ECX
6A 1C          PUSH 1C
33C0          XOR EAX,EAX
8D4D E4       LEA ECX,DWORD PTR SS:[EBP-1C]
40             INC EAX
51             PUSH ECX
50             PUSH EAX
8945 E4       MOV DWORD PTR SS:[EBP-1C],EAX
E8 9B8DFCFF    CALL USER32.SendInput
C9             LEAVE
C2 1000       RETN 10

由上面我们看到keybd_event进行了一些参数的处理最后还是调用了user32.dll中的SendInput函数。而下面是SendInput的源代码
B8 F6110000    MOV EAX,11F6
BA 0003FE7F    MOV EDX,7FFE0300
FF12          CALL DWORD PTR DS:[EDX]       ; ntdll.KiFastSystemCall
C2 0C00       RETN 0C

SendInput代码比较简单吧？我们发现SendInput最终是调用了ntdll.dll中的KiFastSystemCall函数，我们再跟下去，KiFastSystemCall就是这个样子了
8BD4          MOV EDX,ESP
0F34          SYSENTER
最终就是进入了SYSENTER。

通过上面的代码我们发现一个keybd_event函数构建并不复杂因此我们完全可以把上面的代码COPY到自己的程序，用来替代原来的keybd_event。NP启动后依然会拦截原来的那个，但已经没关系啦，因为我们不需要用原来那个keybd_event了。

请问如何写成 API keybd_event 的功能？

kagayaki

雪币： 4924

活跃值： (7788)

能力值：

( LV3，RANK：20 )

在线值：

发帖

177

回帖

1336

粉丝

30

关注

私信

kagayaki 2006-12-20 02:37: 0

[原创]QQ聊天记录察看器 5.2算法分析+N个注册码
顶.....

kagayaki

雪币： 4924

活跃值： (7788)

能力值：

( LV3，RANK：20 )

在线值：

发帖

177

回帖

1336

粉丝

30

关注

私信

kagayaki 2006-12-12 07:03: 0

懂PB的前辈进来，帮我分析下这段代码
我帮你顶一下他.....

kagayaki

雪币： 4924

活跃值： (7788)

能力值：

( LV3，RANK：20 )

在线值：

发帖

177

回帖

1336

粉丝

30

关注

私信

kagayaki 2006-12-4 07:08: 0

[求助]金山影霸“桌面播放”功能探究！
我没用个这个...
不过 API 中有一个设置窗口双亲的...像屏保一样的原理吧...
可以把程序 Embed 到其它的程序中.....
你试试....

kagayaki

雪币： 4924

活跃值： (7788)

能力值：

( LV3，RANK：20 )

在线值：

发帖

177

回帖

1336

粉丝

30

关注

私信

kagayaki 2006-11-28 04:34: 0

[求助]判断不了是什么程序编译的？
用16进制来打开VC++,,,VB,,,,DELPHI,,,编的程序...

kagayaki

雪币： 4924

活跃值： (7788)

能力值：

( LV3，RANK：20 )

在线值：

发帖

177

回帖

1336

粉丝

30

关注

私信

kagayaki 2006-11-28 04:32: 0

怎样才能学好汇编?
我也要从头来...........

kagayaki

雪币： 4924

活跃值： (7788)

能力值：

( LV3，RANK：20 )

在线值：

发帖

177

回帖

1336

粉丝

30

关注

私信

kagayaki 2006-11-28 04:20: 0

[分享]献给初学者---OllyDBG入门教程（收藏版）
兄弟辛苦了

kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2007-2-16 06:28 0 在论坛2位高手mm的基础上谈谈结构化异常处理SEH (理论+CrackMe例子分析) 啥都不多说了，就顶转
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2007-2-12 06:13 0 [原创]用户层下拦截系统api的原理与实现顶!!!!!!!!!!!!!!!!!!!!!!!!
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2007-2-11 06:58 0 ［原创］菜鸟KOF97单文件版本制作记我也是个KOF疯子!顶!!!!!!!!!
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2007-2-5 03:35 0 微软研究院Detour开发包之API拦截技术[原创] 顶一下!!!!!!!!!!!
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2007-2-2 03:47 0 [原创]API-HOOK and ANTI-API-HOOK For Ring3 学习!...............
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2007-2-2 03:39 0 [原创]OllyDBG 入门系列（三）－函数参考顶一下!!!!!!收藏
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2007-2-2 03:32 0 [原创]为XP任务管理器加个扩展顶一下!!!!!!!!!!!!!!!!!
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2007-1-28 02:51 0 浅谈程序的插件的逆向分析支持一下！！！！！
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2007-1-13 03:58 0 [原创]反NP监视原理(+Bypass NP in ring0) 顶一下!!!!
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2007-1-13 03:56 0 [原创]如何在NP下读写游戏内存及如何进入NP进程顶一下!!!
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2007-1-13 03:48 0 [原创]逆向小试 ―― QQ 自动登录器原理分析顶一下!!!!
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2007-1-12 14:56 0 [原创]反NP监视原理(+Bypass NP in ring0) 还是不会，可以帮写一个参考一下吗？
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2007-1-11 16:40 0 [原创]反NP监视原理(+Bypass NP in ring0) 这种方法适用于代码比较简单的系统函数。下面我们看看keybd_event的函数源码 8BFF MOV EDI,EDI ; USER32.keybd_event 55 PUSH EBP 8BEC MOV EBP,ESP 83EC 1C SUB ESP,1C 8B4D 10 MOV ECX,DWORD PTR SS:[EBP+10] 8365 F0 00 AND DWORD PTR SS:[EBP-10],0 894D EC MOV DWORD PTR SS:[EBP-14],ECX 66:0FB64D 08 MOVZX CX,BYTE PTR SS:[EBP+8] 66:894D E8 MOV WORD PTR SS:[EBP-18],CX 66:0FB64D 0C MOVZX CX,BYTE PTR SS:[EBP+C] 66:894D EA MOV WORD PTR SS:[EBP-16],CX 8B4D 14 MOV ECX,DWORD PTR SS:[EBP+14] 894D F4 MOV DWORD PTR SS:[EBP-C],ECX 6A 1C PUSH 1C 33C0 XOR EAX,EAX 8D4D E4 LEA ECX,DWORD PTR SS:[EBP-1C] 40 INC EAX 51 PUSH ECX 50 PUSH EAX 8945 E4 MOV DWORD PTR SS:[EBP-1C],EAX E8 9B8DFCFF CALL USER32.SendInput C9 LEAVE C2 1000 RETN 10 由上面我们看到keybd_event进行了一些参数的处理最后还是调用了user32.dll中的SendInput函数。而下面是SendInput的源代码 B8 F6110000 MOV EAX,11F6 BA 0003FE7F MOV EDX,7FFE0300 FF12 CALL DWORD PTR DS:[EDX] ; ntdll.KiFastSystemCall C2 0C00 RETN 0C SendInput代码比较简单吧？我们发现SendInput最终是调用了ntdll.dll中的KiFastSystemCall函数，我们再跟下去，KiFastSystemCall就是这个样子了 8BD4 MOV EDX,ESP 0F34 SYSENTER 最终就是进入了SYSENTER。通过上面的代码我们发现一个keybd_event函数构建并不复杂因此我们完全可以把上面的代码COPY到自己的程序，用来替代原来的keybd_event。NP启动后依然会拦截原来的那个，但已经没关系啦，因为我们不需要用原来那个keybd_event了。请问如何写成 API keybd_event 的功能？
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2006-12-20 02:37 0 [原创]QQ聊天记录察看器 5.2算法分析+N个注册码顶.....
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2006-12-12 07:03 0 懂PB的前辈进来，帮我分析下这段代码我帮你顶一下他.....
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2006-12-4 07:08 0 [求助]金山影霸“桌面播放”功能探究！我没用个这个... 不过 API 中有一个设置窗口双亲的...像屏保一样的原理吧... 可以把程序 Embed 到其它的程序中..... 你试试....
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2006-11-28 04:34 0 [求助]判断不了是什么程序编译的？用16进制来打开VC++,,,VB,,,,DELPHI,,,编的程序...
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2006-11-28 04:32 0 怎样才能学好汇编? 我也要从头来...........
kagayaki 雪币： 4924 活跃值： (7788) 能力值： ( LV3，RANK：20 ) 在线值：发帖 177 回帖 1336 粉丝 30 关注私信	kagayaki 2006-11-28 04:20 0 [分享]献给初学者---OllyDBG入门教程（收藏版）兄弟辛苦了

{{ user_info.username }}