[求助][求助]WIN7 64位下 OD附加某有NP保护的游戏附加后游戏自行关闭-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助][求助]WIN7 64位下 OD附加某有NP保护的游戏附加后游戏自行关闭

发表于: 2012-11-30 20:25 10060

[求助][求助]WIN7 64位下 OD附加某有NP保护的游戏附加后游戏自行关闭

凉宫春日

2012-11-30 20:25

10060

一开始调试的时候发现NP会在所有进程注入模块然后运行一条线程，每个进程有多个API HOOK  分别是下面这些
NtQuerySystemInformation
NtReadVirtualMemory
NtSuspendProcess
NtSuspendThread
NtWriteVirtualMemory
ZwDeviceIoControlFile
ZwLoadDriver
ZwOpenProcess
ZwProtectVirtualMemory
ZwQuerySystemInformation
ZwReadVirtualMemory
ZwSuspendProcess
ZwSuspendThread
ZwWriteVirtualMemory
CreateProcessInternalW
DebugActiveProcess
GetCurrentProcessorNumber
GetProcAddress
MapViewOfFile
MapViewOfFileEx
MoveFileW
LoadLibraryExW
OpenProcess
ReadProcessMemory
VirtualProtect
VirtualProtectEx
WriteProcessMemory
CreateProcessWithLogonW
GetPixel
ExitWindowsEx
GetWindowThreadProcessId
PostMessageA
PostMessageW
SendInput
SendMessageA
SendMessageW
SetCursorPos
SetWindowsHookExA
SetWindowsHookExW
keybd_event
mouse_event

一开始的时候我逐个恢复后，附加游戏会蓝屏。然后我写了个程序，保护起OD 不让他被修改API HOOK 并且不让他加载NP的DLL。  完工后附加游戏发现附加后游戏会消失。
请问是NP和游戏有通信吗？  我没有处理NP的进程 GAMEMON.DES  求大大给个解决办法我是个新手搞了两天了。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向

收藏・0

免费・0

支持

最新回复 (2)
zhingma 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 203 粉丝 0 关注私信	zhingma 2 楼绝对有通信，游戏NP检测外挂就是一个道理。 2012-12-1 08:32 0
xingjunjie 雪币： 152 活跃值： (588) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 161 粉丝 2 关注私信	xingjunjie 3 楼囧，楼主竟然用团长的名字 2012-12-1 09:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

凉宫春日

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
zhingma 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 203 粉丝 0 关注私信	zhingma 2 楼绝对有通信，游戏NP检测外挂就是一个道理。 2012-12-1 08:32 0
xingjunjie 雪币： 152 活跃值： (588) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 161 粉丝 2 关注私信	xingjunjie 3 楼囧，楼主竟然用团长的名字 2012-12-1 09:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助][求助]WIN7 64位下 OD附加某有NP保护的游戏 附加后游戏自行关闭

[求助][求助]WIN7 64位下 OD附加某有NP保护的游戏附加后游戏自行关闭