[注意]刚刚分析得到的NP HOOK表。。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[注意]刚刚分析得到的NP HOOK表。。

发表于: 2010-2-17 23:09 16801

[注意]刚刚分析得到的NP HOOK表。。

tmxfh

2010-2-17 23:09

16801

还是蓝了一下，找不到硬盘了，这会儿好了，NP太可怕了，现将结果贴出来。
WinXP SP3
----------------ShadowSSDT---------------
NtUserBuildHwndList
HOOK位置 0xF14162E4
HOOK模块 TesSafe.sys
;---------------------------------------
NtUserFindWindowEx
HOOK位置 0xF1416420
HOOK模块 TesSafe.sys
;---------------------------------------
NtUserGetDC
HOOK位置 0xF14160C4
HOOK模块 TesSafe.sys
;---------------------------------------
NtUserGetDCEx
HOOK位置 0xF14161D4
HOOK模块 TesSafe.sys
;---------------------------------------
NtUserGetForegroundWindow
HOOK位置 0xF1416506
HOOK模块 TesSafe.sys
;---------------------------------------
NtUserWindowFromPoint
HOOK位置 0xF14165D6
HOOK模块 TesSafe.sys

-------------------------以下是InLineHook----------------
[896]SVCHOST.EXE====ntdll.dll====NtQueryInformationProcess, HOOK类型:InLine - 相对跳转: 0x7C92D7E0 Hook模块[未知]
[976]SVCHOST.EXE====ntdll.dll====NtQueryInformationProcess, HOOK类型:InLine - 相对跳转: 0x7C92D7E0 Hook模块[未知]
[412]EXPLORER.EXE====kernel32.dll====GetProcAddress, 类型：修改IAT地址 0x01001268 Hook模块[shimeng.dll]
[228]QQLogin.exe====ntdll.dll====LdrInitializeThunk, HOOK类型:InLine - 相对跳转: 0x7C921166 Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====LdrInitializeThunk, HOOK类型:InLine - SEH地址 0x7C92116B Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====LdrInitializeThunk, HOOK类型:InLine - SEH地址 0x7C92116C Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====LdrInitializeThunk, HOOK类型:InLine - SEH地址 0x7C92116D Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====NtCreateThread, HOOK类型:InLine - 相对跳转: 0x7C92D190 Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====NtSetContextThread, HOOK类型:InLine - 相对跳转: 0x7C92DB90 Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====KiUserExceptionDispatcher, HOOK类型:InLine - 相对跳转: 0x7C92E45C Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====KiUserExceptionDispatcher, HOOK类型:InLine - SEH地址 0x7C92E461 Hook模块[未知]
[228]QQLogin.exe====ntdll.dll====KiUserExceptionDispatcher, HOOK类型:InLine - SEH地址 0x7C92E462 Hook模块[未知]
[228]QQLogin.exe====kernel32.dll====GetModuleFileNameA, HOOK类型:InLine - 相对跳转: 0x7C80B55F Hook模块[未知]
[228]QQLogin.exe====kernel32.dll====SetUnhandledExceptionFilter, HOOK类型:InLine - 相对跳转: 0x7C8449FD Hook模块[BugTrace.dll]
ntoskrnl.exe+0x00004AA2, HOOK类型:InLine - 相对跳转: 0x804DCAA2 Hook模块[ntoskrnl.exe]
ntoskrnl.exe+0x0000B928, HOOK类型:InLine - 相对跳转: 0x804E3928 Hook模块[ntoskrnl.exe]
ntoskrnl.exe+0x00013166, HOOK类型:InLine - 直接跳转 0x804EB166 Hook模块[未知]
ntoskrnl.exe====NtReadVirtualMemory, HOOK类型:InLine - 直接跳转 0x8057F2CE Hook模块[未知]
ntoskrnl.exe====NtWriteVirtualMemory, HOOK类型:InLine - 直接跳转 0x8057F420 Hook模块[未知]
IDT====Int 0x00000020, 类型：修改IDT Hook模块[TesSafe.sys]
;===================================================================================================================================
就上面这些了，我很奇怪，查找结果SSDT没有HOOK , NtOpenProcess也没有HOOK。。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#软件保护

收藏・4

免费・0

支持

最新回复 (18)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼这是NP吗。。。 2010-2-17 23:14 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 3 楼囧到了检测工具不行呀 2010-2-17 23:36 0
tmxfh 雪币： 101 活跃值： (144) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 141 粉丝 0 关注私信	tmxfh 4 楼刚检测的。。囧囧囧另外，我看了一下NpOpenProcess ,代码好像改变了很多，几乎是重写了代码，另外还多了些奇怪的跳转，都是在同一个模块中的 2010-2-17 23:40 0
lwykj 雪币： 1080 活跃值： (1283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 243 粉丝 1 关注私信	lwykj 5 楼 TesSafe.sys np 呵呵! 防打击都说是np 2010-2-18 00:38 0
kaokaoyou 雪币： 200 活跃值： (322) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	kaokaoyou 6 楼这个是TP 老牛眼拙 2010-2-18 00:52 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 7 楼 DNF？ hook只是一部分吧 2010-2-18 01:07 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 8 楼这是NP吗？很显然是TP 前段时间尝试了下先HOOK NtQueryInformationProcess 启XXF 系统直接重启，哎，不弄了，头大了！ 2010-2-18 01:17 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 9 楼没事儿玩了下TP，目前已经可以调试了~~ 2010-2-18 19:40 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 10 楼 shadowSSDT，ntoskrnl.exe中对于NtREAD/WriteXXX的inline全可以用hook sysentry自己定义调用法过，TP对NtOpenProcess中的一个call做了hook~需要自己写个NtOpenProcess(不难写，上WRK就行了) IDT 0x20是TP的通讯用的~ 其实TP核心难点是Debugport清零和断点消除 2010-2-19 12:36 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 11 楼把游戏无关的东西都XX掉 2010-2-19 13:04 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 12 楼老V不要忘了KiAttachProcess也被XX过，所以要过Read/Write的话，还是更彻底点吧~ 2010-2-19 13:06 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 13 楼在我机器上TX好像一直没有找到KiAttachProcess（可怜的孩） 2010-2-19 17:19 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 14 楼可怜的TX~ 2010-2-19 18:02 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 15 楼咦？用IDT 20 怎么通讯？断点清除是什么原理？ 2010-2-19 18:11 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 16 楼膜拜v校，真的是各显神通啊 2010-2-19 21:10 0
luyiangel 雪币： 177 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 34 粉丝 0 关注私信	luyiangel 17 楼非NP,是TS 2010-5-14 14:00 0
吴靖wan 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	吴靖wan 18 楼这个不是tp么伤心 2010-7-14 10:11 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 19 楼看到有hook相关getdc的地方，估计能对付那些取颜色的外挂。 2010-7-14 21:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tmxfh

发帖

141

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 2 楼这是NP吗。。。 2010-2-17 23:14 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 3 楼囧到了检测工具不行呀 2010-2-17 23:36 0
tmxfh 雪币： 101 活跃值： (144) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 141 粉丝 0 关注私信	tmxfh 4 楼刚检测的。。囧囧囧另外，我看了一下NpOpenProcess ,代码好像改变了很多，几乎是重写了代码，另外还多了些奇怪的跳转，都是在同一个模块中的 2010-2-17 23:40 0
lwykj 雪币： 1080 活跃值： (1283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 243 粉丝 1 关注私信	lwykj 5 楼 TesSafe.sys np 呵呵! 防打击都说是np 2010-2-18 00:38 0
kaokaoyou 雪币： 200 活跃值： (322) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	kaokaoyou 6 楼这个是TP 老牛眼拙 2010-2-18 00:52 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 7 楼 DNF？ hook只是一部分吧 2010-2-18 01:07 0
网络游侠雪币： 0 活跃值： (954) 能力值： ( LV3，RANK：30 ) 在线值：发帖 19 回帖 971 粉丝 15 关注私信	网络游侠 8 楼这是NP吗？很显然是TP 前段时间尝试了下先HOOK NtQueryInformationProcess 启XXF 系统直接重启，哎，不弄了，头大了！ 2010-2-18 01:17 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 9 楼没事儿玩了下TP，目前已经可以调试了~~ 2010-2-18 19:40 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 10 楼 shadowSSDT，ntoskrnl.exe中对于NtREAD/WriteXXX的inline全可以用hook sysentry自己定义调用法过，TP对NtOpenProcess中的一个call做了hook~需要自己写个NtOpenProcess(不难写，上WRK就行了) IDT 0x20是TP的通讯用的~ 其实TP核心难点是Debugport清零和断点消除 2010-2-19 12:36 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 11 楼把游戏无关的东西都XX掉 2010-2-19 13:04 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 12 楼老V不要忘了KiAttachProcess也被XX过，所以要过Read/Write的话，还是更彻底点吧~ 2010-2-19 13:06 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 13 楼在我机器上TX好像一直没有找到KiAttachProcess（可怜的孩） 2010-2-19 17:19 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 14 楼可怜的TX~ 2010-2-19 18:02 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 15 楼咦？用IDT 20 怎么通讯？断点清除是什么原理？ 2010-2-19 18:11 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 16 楼膜拜v校，真的是各显神通啊 2010-2-19 21:10 0
luyiangel 雪币： 177 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 34 粉丝 0 关注私信	luyiangel 17 楼非NP,是TS 2010-5-14 14:00 0
吴靖wan 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	吴靖wan 18 楼这个不是tp么伤心 2010-7-14 10:11 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 19 楼看到有hook相关getdc的地方，估计能对付那些取颜色的外挂。 2010-7-14 21:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复