首页
社区
课程
招聘
[注意]刚刚分析得到的NP HOOK表。。
发表于: 2010-2-17 23:09 16833

[注意]刚刚分析得到的NP HOOK表。。

2010-2-17 23:09
16833
还是蓝了一下,找不到硬盘了,这会儿好了,NP太可怕了,现将结果贴出来。
WinXP SP3
----------------ShadowSSDT---------------
NtUserBuildHwndList
HOOK位置 0xF14162E4
HOOK模块 TesSafe.sys
;---------------------------------------
NtUserFindWindowEx
HOOK位置 0xF1416420
HOOK模块 TesSafe.sys
;---------------------------------------
NtUserGetDC
HOOK位置 0xF14160C4
HOOK模块 TesSafe.sys
;---------------------------------------
NtUserGetDCEx
HOOK位置 0xF14161D4
HOOK模块 TesSafe.sys
;---------------------------------------
NtUserGetForegroundWindow
HOOK位置 0xF1416506
HOOK模块 TesSafe.sys
;---------------------------------------
NtUserWindowFromPoint
HOOK位置 0xF14165D6
HOOK模块 TesSafe.sys

-------------------------以下是InLineHook----------------
[896]SVCHOST.EXE====ntdll.dll====NtQueryInformationProcess, HOOK类型:InLine - 相对跳转: 0x7C92D7E0 Hook模块[未知]
[976]SVCHOST.EXE====ntdll.dll====NtQueryInformationProcess, HOOK类型:InLine - 相对跳转: 0x7C92D7E0 Hook模块[未知]
[412]EXPLORER.EXE====kernel32.dll====GetProcAddress, 类型: 修改IAT地址 0x01001268 Hook模块[shimeng.dll]
[228]QQLogin.exe====ntdll.dll====LdrInitializeThunk, HOOK类型:InLine - 相对跳转: 0x7C921166 Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====LdrInitializeThunk, HOOK类型:InLine - SEH地址 0x7C92116B Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====LdrInitializeThunk, HOOK类型:InLine - SEH地址 0x7C92116C Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====LdrInitializeThunk, HOOK类型:InLine - SEH地址 0x7C92116D Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====NtCreateThread, HOOK类型:InLine - 相对跳转: 0x7C92D190 Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====NtSetContextThread, HOOK类型:InLine - 相对跳转: 0x7C92DB90 Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====KiUserExceptionDispatcher, HOOK类型:InLine - 相对跳转: 0x7C92E45C Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====KiUserExceptionDispatcher, HOOK类型:InLine - SEH地址 0x7C92E461 Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====KiUserExceptionDispatcher, HOOK类型:InLine - SEH地址 0x7C92E462 Hook模块[未知]
[228]QQLogin.exe====kernel32.dll====GetModuleFileNameA, HOOK类型:InLine - 相对跳转: 0x7C80B55F Hook模块[未知]
[228]QQLogin.exe====kernel32.dll====SetUnhandledExceptionFilter, HOOK类型:InLine - 相对跳转: 0x7C8449FD Hook模块[BugTrace.dll]
ntoskrnl.exe+0x00004AA2, HOOK类型:InLine - 相对跳转: 0x804DCAA2 Hook模块[ntoskrnl.exe]
ntoskrnl.exe+0x0000B928, HOOK类型:InLine - 相对跳转: 0x804E3928 Hook模块[ntoskrnl.exe]
ntoskrnl.exe+0x00013166, HOOK类型:InLine - 直接跳转 0x804EB166 Hook模块[未知]
ntoskrnl.exe====NtReadVirtualMemory, HOOK类型:InLine - 直接跳转 0x8057F2CE Hook模块[未知]
ntoskrnl.exe====NtWriteVirtualMemory, HOOK类型:InLine - 直接跳转 0x8057F420 Hook模块[未知]
IDT====Int 0x00000020, 类型: 修改IDT Hook模块[TesSafe.sys]
;===================================================================================================================================
就上面这些了,我很奇怪,查找结果SSDT没有HOOK , NtOpenProcess也没有HOOK。。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (18)
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
2
这是NP吗。。。
2010-2-17 23:14
0
雪    币: 1407
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
囧到了 检测工具不行呀
2010-2-17 23:36
0
雪    币: 101
活跃值: (154)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
刚检测的。。
囧囧囧
另外,我看了一下NpOpenProcess ,代码好像改变了很多,几乎是重写了代码,另外还多了些奇怪的跳转,都是在同一个模块中的
2010-2-17 23:40
0
雪    币: 1224
活跃值: (1418)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
TesSafe.sys

np 呵呵! 防打击 都说是np
2010-2-18 00:38
0
雪    币: 200
活跃值: (412)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
这个是TP 老牛眼拙
2010-2-18 00:52
0
雪    币: 2362
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
DNF?
hook只是一部分吧
2010-2-18 01:07
0
雪    币: 0
活跃值: (954)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
8
这是NP吗?很显然是TP

前段时间尝试了下 先HOOK NtQueryInformationProcess 启XXF 系统直接重启,哎,不弄了,头大了!
2010-2-18 01:17
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
9
没事儿玩了下TP,目前已经可以调试了~~
2010-2-18 19:40
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
10
shadowSSDT,ntoskrnl.exe中对于NtREAD/WriteXXX的inline全可以用hook sysentry自己定义调用法过,TP对NtOpenProcess中的一个call做了hook~需要自己写个NtOpenProcess(不难写,上WRK就行了)
IDT 0x20是TP的通讯用的~
其实TP核心难点是Debugport清零和断点消除
2010-2-19 12:36
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
11
把游戏无关的东西都XX掉
2010-2-19 13:04
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
12
老V不要忘了KiAttachProcess也被XX过,所以要过Read/Write的话,还是更彻底点吧~
2010-2-19 13:06
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
13
在我机器上TX好像一直没有找到KiAttachProcess(可怜的孩)
2010-2-19 17:19
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
14
可怜的TX~
2010-2-19 18:02
0
雪    币: 246
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
咦 ? 用IDT 20 怎么通讯?
断点清除是什么原理?
2010-2-19 18:11
0
雪    币: 284
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
膜拜v校,真的是各显神通啊
2010-2-19 21:10
0
雪    币: 177
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
非NP,是TS
2010-5-14 14:00
0
雪    币: 12
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
这个不是tp么 伤心
2010-7-14 10:11
0
雪    币: 208
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
19
看到有hook相关getdc的地方,估计能对付那些取颜色的外挂。
2010-7-14 21:59
0
游客
登录 | 注册 方可回帖
返回
//