首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[求助]过HackShield的保护,给点建议
2010-7-22 19:41 8967

[求助]过HackShield的保护,给点建议

freecsw 活跃值
2010-7-22 19:41
8967
最近在分析劲舞团,其中是用了HackShield保护。当一打开od,游戏就报:“发现非法外挂程序在:(od的全路径)”,然后退出。

尝试了以下办法:

1  给od用上strongod插件

2  分析发现HS inline hook了ssdt函数:NtOpenProcess,NtReadVirtualMemory, NtWriteVirtualMemory这三个函数,用了堕落天才的《SSDT Hook的妙用-对抗ring0 inline hook 》办法把hook作用去掉。

3  自己用ssdt hook函数NtOpenProcess 函数,当调用进程是游戏进程时,直接返回失败

4  在内核中把od的进程路径改成了任务管理器的路径

但以上办法均不能把od隐藏掉,依然报:“发现非法外挂程序在:(od的全路径)”,然后退出,求各位大侠指点指点,给点思路,谢谢。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工 作,每周日13:00-18:00直播授课

收藏
点赞0
打赏
分享
最新回复 (7)
szjohn
雪    币: 136
活跃值: (48)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
szjohn 1 2010-7-22 20:50
2
0
HS 好像在招人,要不先去他们公司,然后再出来

  hi.baidu.com/lostkeyboard       有我过HS的时候一些简单步骤,希望对你有帮助
creakerzgz
雪    币: 62
活跃值: (72)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
creakerzgz 1 2010-7-22 20:59
3
0
把od隐藏掉
freecsw
雪    币: 244
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
freecsw 2010-7-22 21:35
4
0
感谢楼上两位留言:)
freecsw
雪    币: 244
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
freecsw 2010-7-23 10:27
5
0
现在已经能够隐藏od了,办法是修改od的peb处指向的进程名,这应该就是所谓的添加到“白名单”。

但现在碰到一个问题是,od附加时找不到游戏进程,用命令行附加时,显示“od无法作为一个实时调试器附加到进程XXX”。

如果用od启动游戏,根本运行不下去。

还望有人再提供点方法。
PEBOSS
雪    币: 33
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
PEBOSS 2010-7-23 11:58
6
0
blog好黑啊
Isaiah
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
私信
Isaiah 10 2010-7-24 01:06
7
0
各个公司找人可要小心这种
cvcvxk
雪    币: 8863
活跃值: (2374)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
cvcvxk 10 2010-7-24 01:56
8
0
HS?是名将三国么?
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回