[求助]开启OD后,NP检测到非法程序-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 2 楼要是你先加载NP，后开启工具，NP会挂钩NtOpenProcess() 那么之后你每开启一个程序都会被GameMon.des调用一次NtOpenProcess()打开句柄如果这时候被拦截拒绝访问，你就打不开程序就算你先把NP的创建进程回调删除也没用而要是你先开启工具，后加载NP，那NP还会挂钩SwapContext() 所以不管你怎么断链，抹句柄除非你开启的程序不占用CPU时间片但这是不可能的否则必须经过SwapContext() 而NP就在那等着呢... 总之让你前后为难 NP猥琐无耻到极点开启工具就非法，改它的代码就64号键盘端口重启或蓝屏... __asm { mov al, 0xfe out 0x64, al } 不过听说这种64号键盘端口重启可以和谐哪位高人指点一下？ 2012-6-24 01:47 0
fancily 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 132 粉丝 0 关注私信	fancily 3 楼先开OD SwapContext()已经HOOK了. 2012-6-24 16:40 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 4 楼难道NP是暴搜内存匹配特征码？ 2012-6-24 18:25 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 5 楼 1、窗体 2、驱动创建的连接 2012-6-24 19:24 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 6 楼窗体相关的内核函数？要是内核函数的话，我都用内联hook拦截了 NtUserQueryWindow NtUserBuildHwndList NtUserGetForegroundWindow NtUserWindowFromPoint NtUserFindWindowEx 2012-6-24 19:39 0
fancily 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 132 粉丝 0 关注私信	fancily 7 楼断链,断PsCidTable,断csrss HANDLE,OD后. 安全工具还能查到隐藏进程.奇怪... 2012-6-25 13:14 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 8 楼 OD后，DebugPort等着给你收尸呢 2012-6-25 22:45 0
fancily 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 132 粉丝 0 关注私信	fancily 9 楼 DebugPort 已经处理了. 2012-6-26 00:08 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 10 楼你只断了EPROCESS链？抹了EPROCESS句柄吗？ ETHREAD链用不用断？还有ETHREAD句柄需要抹吗？ ETHREAD是可以找到EPROCESS的啊那DebugPort需要怎么处理？移位吗？不过DebugPort检测手段貌似更猥琐了... 2012-6-26 02:47 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 11 楼两位讨论得好开心....请问搞定没啊??? 2012-6-26 04:14 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 12 楼没有搞定，欢迎高人加入指点... 2012-6-26 12:19 0
mmzhzyhxhb 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	mmzhzyhxhb 13 楼嗯，支持下啊。。 2012-6-26 18:52 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 14 楼直接换个OD得了反正我开着不检查可能是我的OD没他的特征码也有可能我干掉了SwapContext的原因 Windbg的DRX寄存器清零问题期待高手讲解下 2012-6-27 05:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 2 楼要是你先加载NP，后开启工具，NP会挂钩NtOpenProcess() 那么之后你每开启一个程序都会被GameMon.des调用一次NtOpenProcess()打开句柄如果这时候被拦截拒绝访问，你就打不开程序就算你先把NP的创建进程回调删除也没用而要是你先开启工具，后加载NP，那NP还会挂钩SwapContext() 所以不管你怎么断链，抹句柄除非你开启的程序不占用CPU时间片但这是不可能的否则必须经过SwapContext() 而NP就在那等着呢... 总之让你前后为难 NP猥琐无耻到极点开启工具就非法，改它的代码就64号键盘端口重启或蓝屏... __asm { mov al, 0xfe out 0x64, al } 不过听说这种64号键盘端口重启可以和谐哪位高人指点一下？ 2012-6-24 01:47 0
fancily 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 132 粉丝 0 关注私信	fancily 3 楼先开OD SwapContext()已经HOOK了. 2012-6-24 16:40 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 4 楼难道NP是暴搜内存匹配特征码？ 2012-6-24 18:25 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 5 楼 1、窗体 2、驱动创建的连接 2012-6-24 19:24 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 6 楼窗体相关的内核函数？要是内核函数的话，我都用内联hook拦截了 NtUserQueryWindow NtUserBuildHwndList NtUserGetForegroundWindow NtUserWindowFromPoint NtUserFindWindowEx 2012-6-24 19:39 0
fancily 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 132 粉丝 0 关注私信	fancily 7 楼断链,断PsCidTable,断csrss HANDLE,OD后. 安全工具还能查到隐藏进程.奇怪... 2012-6-25 13:14 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 8 楼 OD后，DebugPort等着给你收尸呢 2012-6-25 22:45 0
fancily 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 132 粉丝 0 关注私信	fancily 9 楼 DebugPort 已经处理了. 2012-6-26 00:08 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 10 楼你只断了EPROCESS链？抹了EPROCESS句柄吗？ ETHREAD链用不用断？还有ETHREAD句柄需要抹吗？ ETHREAD是可以找到EPROCESS的啊那DebugPort需要怎么处理？移位吗？不过DebugPort检测手段貌似更猥琐了... 2012-6-26 02:47 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 11 楼两位讨论得好开心....请问搞定没啊??? 2012-6-26 04:14 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 12 楼没有搞定，欢迎高人加入指点... 2012-6-26 12:19 0
mmzhzyhxhb 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	mmzhzyhxhb 13 楼嗯，支持下啊。。 2012-6-26 18:52 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 14 楼直接换个OD得了反正我开着不检查可能是我的OD没他的特征码也有可能我干掉了SwapContext的原因 Windbg的DRX寄存器清零问题期待高手讲解下 2012-6-27 05:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复