|
各位大虾,编写驱动的问题
一般运行一个驱动程序分为几个步骤 1,注册驱动 2,启动驱动服务 3,停止驱动服务 4,注销驱动 如果运行驱动过程中发生死机或意外重启 那么已经注册的驱动就没有被注销 这样开机后还是以刚才的服务名称注册的话就会出现已经注册的错误. 这个错误可以忽略 直接进行第二步启动驱动服务,正常的话就可以停止跟注销驱动了!不用重写程序 更不必换机 |
|
|
|
[原创]ring0使nProtect GameGuard的键盘保护失效
用int out 操作0x64 0x60端口即可 但是这时ring3不能把npggNT.des去掉 否则NP封NtDeviceIoControlFile使你的ring3程序不能与ring0驱动通讯,当然用本软件的方法一样可以绕过NP对NtDeviceIoControlFile的监控 |
|
如何向np保护的程序发消息?
ring3去掉npggNT.des的注入 就能直接使用SendMessage PostMessage了 跟ring0没多大关系,NP不隐藏游戏窗体句柄! 楼上各位都想复杂了 |
|
[原创]ring0使nProtect GameGuard的键盘保护失效
确实是这样!相对来说绕过NP对NtUserSendInput的HOOK比绕其他ntoskrnl.exe上面的函数稍微复杂一点点!但是这样做的实际意义并不是很大,因为进入ring0可以做的事情就很多,比如直接用in out 模拟按键就比打开NP的HOOK的NtUserSendInput再在ring3 keybd_event模拟要简单得多。其他内核函数也是一样! |
|
二进制的读写
HANDLE hFile=CreateFile(strFileName,GENERIC_READ|GENERIC_WRITE,0,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL); if(hFile==INVALID_HANDLE_VALUE) return FALSE; DWORD dwFileSize=GetFileSize(hFile,NULL); HANDLE hFileMap=CreateFileMapping(hFile,NULL,PAGE_READWRITE,0, dwFileSize,NULL); if(hFileMap==NULL){ CloseHandle(hFile); return FALSE; } PVOID pvFile=MapViewOfFile(hFileMap,FILE_MAP_READ|FILE_MAP_WRITE,0,0,0); if(pvFile==NULL){ CloseHandle(hFile); CloseHandle(hFileMap); return FALSE; } PBYTE pbFile=(PBYTE)pvFile; //这里就能够直接二进制读写了 寻址也很方便 **************************************************************** 估计这样操作方便很多 使用内存文件映射 |
|
|
|
程序运行隐藏了进程,如何脱壳!![求助]
不会是传说中的nProctect GameGuard吧? 1,esp定律 找OEP 2,LoadPE dump,ImportREC fix IAT 3,如果运行失败,用OD打开,找到VC6经典OEP,用LoadPE修改为当前OEP就OK 前后不用一分钟. VC++6.0编写 这个跟程序隐藏进程没什么关系,因为壳运行时程序还没有启动. |
|
[求助]用vc怎么实现字符串转其ASCII值
最初由 坚持到底 发布 请问你的32303263623936326163353930373562 是什么数值类型?除非你把它们全部相加,否则怎么存放还是一个问题! |
|
[原创]反NP监视原理(+Bypass NP in ring0)
既然在zby的帖子里说开了,就把ring0绕NP加到这里吧,这样就更完整点。 |
|
[讨论]NP在Ring0的保护
1,Add MyService 2,hook sysenter 3,SystemServiceID->MyServiceID 4,MyService JMP ->SystemService Function + N bytes NP968下通过 |
|
VMProtect进入虚拟机时
BUG兄的逆向功力令人佩服 |
|
|
|
|
|
献给汇编初学者-函数调用堆栈变化分析
最初由 发布 多谢sql指出错误,已经修改好!我是用RadAsm控制台工程编译 |
|
[原创]SSDT Hook的妙用-对抗ring0 inline hook
多谢看雪老大的鼓励 |
|
[原创]反NP监视原理(+Bypass NP in ring0)
随着对NP的了解深入,发现这篇文章的谬论真不少啊!自己先汗一下!比如NP ring3 HOOK 系统函数根本就没有用到ReadProcessMemory、WriteProcessMemory、GetCurrentProcess等(不过NP ring3 HOOK的整个远程代码中还是少不了系统函数的,GameMon.des也没有全部做好保护),所以这篇文章所介绍的在GetCurrentProcess设陷阱的方法依然管用(NP版本961)。真是让高手见笑了,不过我也不打算改,就让它作为一个成长的见证吧!现在反npggNT.des注入的方法真是多如牛毛,最主要原因就是GameMon.des向目标进程注入npggNT.des后,不检测是否已经成功,也不会不断检测是否被卸载,所以我们想怎么搞都行。不过反npggNT.des注入的意义并不是很大(不能模拟鼠标键盘,不能直接打开游戏进程,不能直接读写游戏内存,呵呵,还有什么可干的呢?),在ring0反HOOK才是正道。 对于我来说,NP是一位很好的老师,想当初(5个月前),从不懂Windows核心编程、不懂汇编,到现在学ring0 HOOK、搞逆向,都是多得它的指引。 多探讨技术,少思考利益,可能会更好点。 |
|
np被od调试
兄弟,最新的NP已经到了95*了。还有最新NP不是HOOK SSDT了 而是直接inline-HOOK,我很想知道该怎么修复 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值