首页
社区
课程
招聘
[原创]简单对抗某个驱动的反调试
发表于: 2010-4-18 20:02 67828

[原创]简单对抗某个驱动的反调试

2010-4-18 20:02
67828
收藏
免费 7
支持
分享
最新回复 (42)
雪    币: 241
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
26
.text:01001EBD                 call    ds:IoGetCurrentProcess ;得到调用者的eprocess
.text:01001EC3                 mov     [ebp+pEpro], eax
.text:01001EC6                 push    [ebp+pEpro]     ; pEpro
.text:01001EC9                 call    EprocessChk  ;非常关键的比对函数
.text:01001ECE                 movzx   eax, al
.text:01001ED1                 test    eax, eax
.text:01001ED3                 jz      short loc_1001EDA
.text:01001ED5                 jmp     loc_1001FC7  ;返回1的话 直接放行

请问楼主这是用IDA分析得嘛,tessafe.dll加了VMP,我用IDA分析就是一大堆一大堆的数据啊
2010-5-22 08:35
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
27
[QUOTE=SSuNN;811373].text:01001EBD                 call    ds:IoGetCurrentProcess ;得到调用者的eprocess
.text:01001EC3                 mov     [ebp+pEpro], eax
.text:01001EC6...[/QUOTE]

只是关键的几个过程(比如TesSafeDispatchDeviceControl)加了VMP,大部分功能部分还是看得清清楚楚~
2010-5-22 10:33
0
雪    币: 200
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
28
在ce代码中修改两行就能过检测。

vmware+windbg 再写一个驱动恢复iat hook,就可以调试了。
2010-5-23 11:49
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
29
自建内核的强势路过~
2010-5-23 16:28
0
雪    币: 45
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
30
刚跟TX联络过了 说要把LS几位都和谐掉
2010-5-23 21:07
0
雪    币: 460
活跃值: (22)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
31
这不知是多久前的东西了...现在我OD下断会被检测到..断点会被清除.然后游戏退出.
2010-5-24 11:48
0
雪    币: 269
活跃值: (25)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
32
都说了 game ver:0.5.7 了嘛。。看看就得了,想实践的话自己重写呗
2010-5-24 18:13
0
雪    币: 7
活跃值: (125)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
33
好贴标记下,发帖辛苦。。。
2010-5-24 18:46
0
雪    币: 7
活跃值: (125)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
34
这个大大的图里面有一个【勾魂催眠.pdf】。。真是佩服。。五体投地。。

大家一起来找碴。。
2010-5-24 18:48
0
雪    币: 7
活跃值: (125)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
35
[QUOTE=cvcvxk;793595]3字节没那么不和谐,另外TP的DeviceIoControl好像没啥用吧,话说不是用int XX通信么~
有图~

[/QUOTE]

------------------------------

这个大大的图里面有一个【勾魂催眠.pdf】。。真是佩服。。五体投地。。

大家一起来找碴。。
2010-5-24 18:48
0
雪    币: 201
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
36
拜啊,使劲的膜拜
2010-5-24 22:22
0
雪    币: 1505
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
37
玩驱动不够nb,要玩就玩ring3.
2010-5-25 19:05
0
雪    币: 4
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
38
不错 顶了~
2010-6-6 00:48
0
雪    币: 72
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
39
这个好的的文章,怎么没人来看呢?
2010-6-15 01:24
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
40
都是牛人.只有膜拜
2010-6-27 04:52
0
雪    币: 74
活跃值: (27)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
41
收益非浅啊。。呵呵
2010-8-14 10:41
0
雪    币: 108
活跃值: (141)
能力值: ( LV9,RANK:490 )
在线值:
发帖
回帖
粉丝
42
曾经改过一个wrk,发现过一段时间之后会报非法模块,似乎做了特征扫描的。无利益,未深究
空了XX一下KdSendPacket    KdRecivePacket
2010-8-16 11:38
0
雪    币: 221
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
43
强贴!收藏!感谢!
2010-9-11 22:16
0
游客
登录 | 注册 方可回帖
返回
//