[求助]关于 dump_wmimmc.sys 问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (9)
eyanlei 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 35 粉丝 0 关注私信	eyanlei 2 楼一直没有思路。那位大哥指点一下，，小弟谢谢了 2012-3-12 12:43 0
惊电雪币： 209 活跃值： (778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 3 楼干掉NP的校验和监视调用！ 2012-3-12 18:22 0
eyanlei 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 35 粉丝 0 关注私信	eyanlei 4 楼 NP的校验和监视调用！/////////////////////////////////////// 请问NP的校验和监视调用在那里呢？是在驱动层里吗？ 2012-3-13 10:12 0
惊电雪币： 209 活跃值： (778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 5 楼 NP在R3和R0应该都有自校验和监视线程，一旦发现它自己做的手脚被你恢复了，马上就会大发雷霆(死机或重启)，所以你要分别在应用层和内核层都做处理，干掉它的自校验和监视线程。 2012-3-14 15:25 0
eyanlei 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 35 粉丝 0 关注私信	eyanlei 6 楼能说的具体点吗？ NP的驱动自效验是是在驱动层还是用户层啊可以留个Q吗？一起讨论一起研究啊 2012-3-15 11:44 0
yimingqpa 雪币： 6400 活跃值： (4160) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 498 粉丝 50 关注私信	yimingqpa 1 7 楼 OD是调用ZwQuerySystemInformation的直接往里加东西就好，ce是进程快照直接给它加个.dll就ok了。 2012-3-15 12:00 0
惊电雪币： 209 活跃值： (778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 8 楼 NP的应用程序部分有自校验和监视，它的驱动也有自校验和监视，两个部分你都要处理！ NP对应多个不同的游戏有多个功能不同的版本，但大体上是差不多的！应用程序=用户层驱动程序=内核层你该不会是一点内核基础都不懂吧？ 2012-3-17 23:23 0
eyanlei 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 35 粉丝 0 关注私信	eyanlei 9 楼应用层解决了。。但是驱动，枚举线程怎么判断那个是NP的自效验或者是监视线程呢？能否在帮解答一下，或者留个Q ，可以跟你当面的请教一下，拜托了！！！ 2012-3-18 10:50 0
惊电雪币： 209 活跃值： (778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 10 楼偶也是新手，只懂点大概... NP运作流程：游戏Luncher->游戏启动->创建NP存活验证线程->NP进程（NP更新和校验DLL）->真NP进程（启动NP驱动, 保护引擎正式开启）具体要判断哪个是NP的自效验或是监视线程，个人看法：先干净完整的枚举内核线程，再判断出NP驱动所对应的是哪些内核线程，再用内核调试器或自己的土办法或功能特征一个一个的测试甄别这些内核线程，看看到底是哪一个或哪几个内核线程是负责自效验或监视功能的，这个过程很繁琐，要有耐心。 2012-3-19 00:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (9)
eyanlei 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 35 粉丝 0 关注私信	eyanlei 2 楼一直没有思路。那位大哥指点一下，，小弟谢谢了 2012-3-12 12:43 0
惊电雪币： 209 活跃值： (778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 3 楼干掉NP的校验和监视调用！ 2012-3-12 18:22 0
eyanlei 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 35 粉丝 0 关注私信	eyanlei 4 楼 NP的校验和监视调用！/////////////////////////////////////// 请问NP的校验和监视调用在那里呢？是在驱动层里吗？ 2012-3-13 10:12 0
惊电雪币： 209 活跃值： (778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 5 楼 NP在R3和R0应该都有自校验和监视线程，一旦发现它自己做的手脚被你恢复了，马上就会大发雷霆(死机或重启)，所以你要分别在应用层和内核层都做处理，干掉它的自校验和监视线程。 2012-3-14 15:25 0
eyanlei 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 35 粉丝 0 关注私信	eyanlei 6 楼能说的具体点吗？ NP的驱动自效验是是在驱动层还是用户层啊可以留个Q吗？一起讨论一起研究啊 2012-3-15 11:44 0
yimingqpa 雪币： 6400 活跃值： (4160) 能力值： ( LV10，RANK：163 ) 在线值：发帖 35 回帖 498 粉丝 50 关注私信	yimingqpa 1 7 楼 OD是调用ZwQuerySystemInformation的直接往里加东西就好，ce是进程快照直接给它加个.dll就ok了。 2012-3-15 12:00 0
惊电雪币： 209 活跃值： (778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 8 楼 NP的应用程序部分有自校验和监视，它的驱动也有自校验和监视，两个部分你都要处理！ NP对应多个不同的游戏有多个功能不同的版本，但大体上是差不多的！应用程序=用户层驱动程序=内核层你该不会是一点内核基础都不懂吧？ 2012-3-17 23:23 0
eyanlei 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 35 粉丝 0 关注私信	eyanlei 9 楼应用层解决了。。但是驱动，枚举线程怎么判断那个是NP的自效验或者是监视线程呢？能否在帮解答一下，或者留个Q ，可以跟你当面的请教一下，拜托了！！！ 2012-3-18 10:50 0
惊电雪币： 209 活跃值： (778) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 10 楼偶也是新手，只懂点大概... NP运作流程：游戏Luncher->游戏启动->创建NP存活验证线程->NP进程（NP更新和校验DLL）->真NP进程（启动NP驱动, 保护引擎正式开启）具体要判断哪个是NP的自效验或是监视线程，个人看法：先干净完整的枚举内核线程，再判断出NP驱动所对应的是哪些内核线程，再用内核调试器或自己的土办法或功能特征一个一个的测试甄别这些内核线程，看看到底是哪一个或哪几个内核线程是负责自效验或监视功能的，这个过程很繁琐，要有耐心。 2012-3-19 00:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]关于 dump_wmimmc.sys 问题 0.00雪花