[原创]简单对抗某个驱动的反调试-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (42) ◀ 1 2
SSuNN 雪币： 241 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	SSuNN 26 楼 .text:01001EBD call ds:IoGetCurrentProcess ；得到调用者的eprocess .text:01001EC3 mov [ebp+pEpro], eax .text:01001EC6 push [ebp+pEpro] ; pEpro .text:01001EC9 call EprocessChk ；非常关键的比对函数 .text:01001ECE movzx eax, al .text:01001ED1 test eax, eax .text:01001ED3 jz short loc_1001EDA .text:01001ED5 jmp loc_1001FC7 ;返回1的话直接放行请问楼主这是用IDA分析得嘛，tessafe.dll加了VMP,我用IDA分析就是一大堆一大堆的数据啊 2010-5-22 08:35 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 27 楼 [QUOTE=SSuNN;811373].text:01001EBD call ds:IoGetCurrentProcess ；得到调用者的eprocess .text:01001EC3 mov [ebp+pEpro], eax .text:01001EC6...[/QUOTE] 只是关键的几个过程(比如TesSafeDispatchDeviceControl)加了VMP，大部分功能部分还是看得清清楚楚~ 2010-5-22 10:33 0
dreamchain 雪币： 200 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	dreamchain 28 楼在ce代码中修改两行就能过检测。 vmware+windbg 再写一个驱动恢复iat hook，就可以调试了。 2010-5-23 11:49 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 29 楼自建内核的强势路过~ 2010-5-23 16:28 0
vfer 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 84 粉丝 0 关注私信	vfer 30 楼刚跟TX联络过了说要把LS几位都和谐掉 2010-5-23 21:07 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 31 楼这不知是多久前的东西了...现在我OD下断会被检测到..断点会被清除.然后游戏退出. 2010-5-24 11:48 0
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 32 楼都说了 game ver:0.5.7 了嘛。。看看就得了，想实践的话自己重写呗 2010-5-24 18:13 0
lixianhuei 雪币： 7 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	lixianhuei 33 楼好贴标记下，发帖辛苦。。。 2010-5-24 18:46 0
lixianhuei 雪币： 7 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	lixianhuei 34 楼这个大大的图里面有一个【勾魂催眠.pdf】。。真是佩服。。五体投地。。大家一起来找碴。。 2010-5-24 18:48 0
lixianhuei 雪币： 7 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	lixianhuei 35 楼 [QUOTE=cvcvxk;793595]3字节没那么不和谐，另外TP的DeviceIoControl好像没啥用吧，话说不是用int XX通信么~ 有图~ [/QUOTE] ------------------------------ 这个大大的图里面有一个【勾魂催眠.pdf】。。真是佩服。。五体投地。。大家一起来找碴。。 2010-5-24 18:48 0
yaaisinile 雪币： 201 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	yaaisinile 36 楼拜啊，使劲的膜拜 2010-5-24 22:22 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 37 楼玩驱动不够nb,要玩就玩ring3. 2010-5-25 19:05 0
cxcxs 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 77 粉丝 0 关注私信	cxcxs 38 楼不错顶了~ 2010-6-6 00:48 0
msfan 雪币： 72 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 32 粉丝 0 关注私信	msfan 39 楼这个好的的文章,怎么没人来看呢? 2010-6-15 01:24 0
zyanswer 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	zyanswer 40 楼都是牛人.只有膜拜 2010-6-27 04:52 0
bluehook 雪币： 74 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	bluehook 1 41 楼收益非浅啊。。呵呵 2010-8-14 10:41 0
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 42 楼曾经改过一个wrk，发现过一段时间之后会报非法模块，似乎做了特征扫描的。无利益，未深究空了XX一下KdSendPacket KdRecivePacket 2010-8-16 11:38 0
xionw 雪币： 221 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 55 粉丝 0 关注私信	xionw 43 楼强贴！收藏！感谢！ 2010-9-11 22:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (42) ◀ 1 2
SSuNN 雪币： 241 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	SSuNN 26 楼 .text:01001EBD call ds:IoGetCurrentProcess ；得到调用者的eprocess .text:01001EC3 mov [ebp+pEpro], eax .text:01001EC6 push [ebp+pEpro] ; pEpro .text:01001EC9 call EprocessChk ；非常关键的比对函数 .text:01001ECE movzx eax, al .text:01001ED1 test eax, eax .text:01001ED3 jz short loc_1001EDA .text:01001ED5 jmp loc_1001FC7 ;返回1的话直接放行请问楼主这是用IDA分析得嘛，tessafe.dll加了VMP,我用IDA分析就是一大堆一大堆的数据啊 2010-5-22 08:35 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 27 楼 [QUOTE=SSuNN;811373].text:01001EBD call ds:IoGetCurrentProcess ；得到调用者的eprocess .text:01001EC3 mov [ebp+pEpro], eax .text:01001EC6...[/QUOTE] 只是关键的几个过程(比如TesSafeDispatchDeviceControl)加了VMP，大部分功能部分还是看得清清楚楚~ 2010-5-22 10:33 0
dreamchain 雪币： 200 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	dreamchain 28 楼在ce代码中修改两行就能过检测。 vmware+windbg 再写一个驱动恢复iat hook，就可以调试了。 2010-5-23 11:49 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 29 楼自建内核的强势路过~ 2010-5-23 16:28 0
vfer 雪币： 45 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 84 粉丝 0 关注私信	vfer 30 楼刚跟TX联络过了说要把LS几位都和谐掉 2010-5-23 21:07 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 31 楼这不知是多久前的东西了...现在我OD下断会被检测到..断点会被清除.然后游戏退出. 2010-5-24 11:48 0
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 32 楼都说了 game ver:0.5.7 了嘛。。看看就得了，想实践的话自己重写呗 2010-5-24 18:13 0
lixianhuei 雪币： 7 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	lixianhuei 33 楼好贴标记下，发帖辛苦。。。 2010-5-24 18:46 0
lixianhuei 雪币： 7 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	lixianhuei 34 楼这个大大的图里面有一个【勾魂催眠.pdf】。。真是佩服。。五体投地。。大家一起来找碴。。 2010-5-24 18:48 0
lixianhuei 雪币： 7 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	lixianhuei 35 楼 [QUOTE=cvcvxk;793595]3字节没那么不和谐，另外TP的DeviceIoControl好像没啥用吧，话说不是用int XX通信么~ 有图~ [/QUOTE] ------------------------------ 这个大大的图里面有一个【勾魂催眠.pdf】。。真是佩服。。五体投地。。大家一起来找碴。。 2010-5-24 18:48 0
yaaisinile 雪币： 201 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	yaaisinile 36 楼拜啊，使劲的膜拜 2010-5-24 22:22 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 37 楼玩驱动不够nb,要玩就玩ring3. 2010-5-25 19:05 0
cxcxs 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 77 粉丝 0 关注私信	cxcxs 38 楼不错顶了~ 2010-6-6 00:48 0
msfan 雪币： 72 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 32 粉丝 0 关注私信	msfan 39 楼这个好的的文章,怎么没人来看呢? 2010-6-15 01:24 0
zyanswer 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	zyanswer 40 楼都是牛人.只有膜拜 2010-6-27 04:52 0
bluehook 雪币： 74 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	bluehook 1 41 楼收益非浅啊。。呵呵 2010-8-14 10:41 0
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 42 楼曾经改过一个wrk，发现过一段时间之后会报非法模块，似乎做了特征扫描的。无利益，未深究空了XX一下KdSendPacket KdRecivePacket 2010-8-16 11:38 0
xionw 雪币： 221 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 55 粉丝 0 关注私信	xionw 43 楼强贴！收藏！感谢！ 2010-9-11 22:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复