能力值:
( LV4,RANK:50 )
|
-
-
2 楼
要是你先加载NP,后开启工具,NP会挂钩NtOpenProcess()
那么之后你每开启一个程序
都会被GameMon.des调用一次NtOpenProcess()打开句柄
如果这时候被拦截拒绝访问,你就打不开程序
就算你先把NP的创建进程回调删除也没用
而要是你先开启工具,后加载NP,那NP还会挂钩SwapContext()
所以不管你怎么断链,抹句柄
除非你开启的程序不占用CPU时间片
但这是不可能的
否则必须经过SwapContext()
而NP就在那等着呢...
总之让你前后为难
NP猥琐无耻到极点
开启工具就非法,改它的代码就64号键盘端口重启或蓝屏...
__asm
{
mov al, 0xfe
out 0x64, al
}
不过听说这种64号键盘端口重启可以和谐
哪位高人指点一下?
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
先开OD
SwapContext()已经HOOK了.
|
能力值:
( LV4,RANK:50 )
|
-
-
4 楼
难道NP是暴搜内存匹配特征码?
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
1、窗体
2、驱动创建的连接
|
能力值:
( LV4,RANK:50 )
|
-
-
6 楼
窗体相关的内核函数?
要是内核函数的话,我都用内联hook拦截了
NtUserQueryWindow
NtUserBuildHwndList
NtUserGetForegroundWindow
NtUserWindowFromPoint
NtUserFindWindowEx
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
断链,断PsCidTable,断csrss HANDLE,OD后.
安全工具还能查到隐藏进程.奇怪...
|
能力值:
( LV4,RANK:50 )
|
-
-
8 楼
OD后,DebugPort等着给你收尸呢
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
DebugPort 已经处理了.
|
能力值:
( LV4,RANK:50 )
|
-
-
10 楼
你只断了EPROCESS链?
抹了EPROCESS句柄吗?
ETHREAD链用不用断?
还有ETHREAD句柄需要抹吗?
ETHREAD是可以找到EPROCESS的啊
那DebugPort需要怎么处理?移位吗?
不过DebugPort检测手段貌似更猥琐了...
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
两位讨论得好开心....请问搞定没啊???
|
能力值:
( LV4,RANK:50 )
|
-
-
12 楼
没有搞定,欢迎高人加入指点...
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
嗯,支持下啊。。
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
直接换个OD得了
反正我开着不检查
可能是我的OD没他的特征码
也有可能我干掉了SwapContext的原因
Windbg的DRX寄存器清零问题期待高手讲解下
|
|
|
|
