NtOpenProcess被HOOK,跳回原函数地址后仍然无法看到进程-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] NtOpenProcess被HOOK,跳回原函数地址后仍然无法看到进程 0.00雪花

发表于: 2013-1-5 13:22 9495

[旧帖] NtOpenProcess被HOOK,跳回原函数地址后仍然无法看到进程 0.00雪花

ksmokee

2013-1-5 13:22

9495

2013/1/3
看过郁金香的驱动视频后,其中第十一集讲到用工具可以恢复游戏的HOOK,
只要在被修改的地方的头部加一个jmp跳回到原来函数就行了,于是去实践.
在虚拟机内装了某游戏,运行游戏后用XT工具查看游戏HOOK的函数,
如下:

游戏的进程为:Game.exe

用普通的OD查看附加列表时看不到游戏进程的:

通过搜索得知是NtOpenProcess被hook的缘故.
所以用工具把hook的地址头部做JMP跳回原函数地址.
用工具查看得知原函数地址为:0x805CC3FC
现在的地址为:0xB078FBD0
用Kernel工具在当前地址做修改把第一条汇编指令修改为 jmp 0x805CC3FC

然后重新用OD查看进程列表

查看后发现还是没有看到目标游戏进程,我怀疑时我修改的JMP被游戏修改回来了,于是我冲洗你查看修改的地方.
发现并未被游戏修改回来,请问为什么会出现这种状况?
本人刚开始学习驱动,虚拟机winDbug调试器装好了,这个驱动并没有拦截双机调试,所以可以再WinDbug下调试,希望大家能指点.

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

1.jpg （72.00kb，5次下载）
2.jpg （91.09kb，4次下载）
3.jpg （27.12kb，1次下载）
4.jpg （159.62kb，2次下载）
5.jpg （15.00kb，1次下载）
6.jpg （145.53kb，1次下载）

收藏・2

免费・0

支持

最新回复 (24)
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 2 楼不明觉厉，但是xuetr中好像自带有修复hook的选项，可以用这个修复hook然后与这个对比下就可以看出区别 2013-1-5 14:19 0
深海之龙雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 81 粉丝 0 关注私信	深海之龙 3 楼什么游戏！可以一起研究 2013-1-5 14:23 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 4 楼这个游戏如果恢复了HOOK 他会自动又给HOOK上 XT的恢复对他没用 2013-1-5 14:29 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 5 楼我也是新手拿这个游戏练手,新水浒Q传搜狐的游戏我的邮箱是jmp8@qq.com 希望能一起学习交流 2013-1-5 14:30 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 6 楼用windbg一步一步跑不知道行不行？ 2013-1-5 14:39 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 7 楼额 ,表示刚学驱动不会分析能教教我么 jmp8@qq.com 2013-1-5 15:20 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 8 楼额 ,表示刚学驱动不会分析能教教我么 jmp8@qq.com 2013-1-5 15:21 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 9 楼我也是菜鸟，你就用windbg在NTOpenProcess入口点的地方下断点，xuetr里面有真实函数地址和hook后的函数地址都下断点，然后自己编写一个程序用OpenProcess打开这个ID，然后在自己搞把！这是我在想我要研究这个用的方法，我也是菜鸟，也不知道说的对不？ 2013-1-5 16:01 0
IamHuskar 雪币： 1392 活跃值： (4867) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 10 楼不能显示这个进程不关openprocess的事。打不开进程才是这个函数。找不到进程是其他钩子的问题 2013-1-5 16:41 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 11 楼求指点是什么函数? 2013-1-5 16:49 0
IamHuskar 雪币： 1392 活跃值： (4867) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 12 楼就你上传的图来看，SSDT 和ShadowSSDT都没有关键的HOOK。你去内核钩子部分看看，看看是不是还有内核的字节钩子 2013-1-5 16:51 0
紫夜星纱雪币： 248 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 95 粉丝 0 关注私信	紫夜星纱 13 楼有个更简单的方法，不过我怕说了会被和谐 2013-1-5 17:51 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 14 楼额.你可以私聊我 jmp8@qq.com 2013-1-5 18:08 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 15 楼这个内核钩子的地方.不过感觉跟ntopenprocess没什么关系上传的附件： 7.jpg （67.63kb，1次下载） 8.jpg （95.88kb，3次下载） 2013-1-5 18:15 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 16 楼 NtOpenProcess 这个函数是打开进程句柄，并非枚举进程，OD附加进程列表无法找到调试进程是因为调试进程隐藏了。 2013-1-5 19:09 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 17 楼这个是普通的OD看不到进程如果用加了内核插件的OD就能看到进程但是无法附加 2013-1-6 09:30 0
IamHuskar 雪币： 1392 活跃值： (4867) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 18 楼 http://bbs.pediy.com/showthread.php?t=156865 虚拟机试试。这个，复制一个内核驱动ntxx.exe改名为kernel.dll，放到DLL 以及INI一起。注入HkkernelDbg.dll到原版OD。看看是不是能OK。INI配置全部=1 2013-1-6 11:25 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 19 楼无法附加的原因很多，比如打不开进程附加进程API被HOOK了 2013-1-6 14:27 0
墨非雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 214 粉丝 0 关注私信	墨非 20 楼没怎么看明白,有人说下吗 2013-1-6 15:06 0
rocky火雀雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 85 粉丝 0 关注私信	rocky火雀 21 楼挺想知道答案的 2013-1-7 00:55 0
liudongdon 雪币： 72 活跃值： (225) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 36 粉丝 0 关注私信	liudongdon 22 楼顶求大神解答一下 2013-2-17 19:22 0
iloveqqp 雪币： 1530 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	iloveqqp 23 楼可能被DKOM斷鏈了 http://bbs.pediy.com/showthread.php?t=70089 2013-2-17 20:00 0
fdsbyq 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	fdsbyq 24 楼用双机调试下不就可以了嘛，不过TMD有的游戏驱动保护什么的，有反双机调试的要先把双机调试搞定，再去弄这些反R3层调试的的东西 2013-3-3 19:16 0
天缺雪币： 59 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 76 粉丝 1 关注私信	天缺 25 楼撸主我告诉你吧，你HOOK的位置没对，你只打函数头给HOOK，OpenProcss这个函数一般都是深层inLineHOOK，所有你最终于还是没绕过他的保护 2013-3-5 12:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ksmokee

发帖

132

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 2 楼不明觉厉，但是xuetr中好像自带有修复hook的选项，可以用这个修复hook然后与这个对比下就可以看出区别 2013-1-5 14:19 0
深海之龙雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 81 粉丝 0 关注私信	深海之龙 3 楼什么游戏！可以一起研究 2013-1-5 14:23 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 4 楼这个游戏如果恢复了HOOK 他会自动又给HOOK上 XT的恢复对他没用 2013-1-5 14:29 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 5 楼我也是新手拿这个游戏练手,新水浒Q传搜狐的游戏我的邮箱是jmp8@qq.com 希望能一起学习交流 2013-1-5 14:30 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 6 楼用windbg一步一步跑不知道行不行？ 2013-1-5 14:39 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 7 楼额 ,表示刚学驱动不会分析能教教我么 jmp8@qq.com 2013-1-5 15:20 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 8 楼额 ,表示刚学驱动不会分析能教教我么 jmp8@qq.com 2013-1-5 15:21 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 9 楼我也是菜鸟，你就用windbg在NTOpenProcess入口点的地方下断点，xuetr里面有真实函数地址和hook后的函数地址都下断点，然后自己编写一个程序用OpenProcess打开这个ID，然后在自己搞把！这是我在想我要研究这个用的方法，我也是菜鸟，也不知道说的对不？ 2013-1-5 16:01 0
IamHuskar 雪币： 1392 活跃值： (4867) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 10 楼不能显示这个进程不关openprocess的事。打不开进程才是这个函数。找不到进程是其他钩子的问题 2013-1-5 16:41 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 11 楼求指点是什么函数? 2013-1-5 16:49 0
IamHuskar 雪币： 1392 活跃值： (4867) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 12 楼就你上传的图来看，SSDT 和ShadowSSDT都没有关键的HOOK。你去内核钩子部分看看，看看是不是还有内核的字节钩子 2013-1-5 16:51 0
紫夜星纱雪币： 248 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 95 粉丝 0 关注私信	紫夜星纱 13 楼有个更简单的方法，不过我怕说了会被和谐 2013-1-5 17:51 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 14 楼额.你可以私聊我 jmp8@qq.com 2013-1-5 18:08 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 15 楼这个内核钩子的地方.不过感觉跟ntopenprocess没什么关系上传的附件： 7.jpg （67.63kb，1次下载） 8.jpg （95.88kb，3次下载） 2013-1-5 18:15 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 16 楼 NtOpenProcess 这个函数是打开进程句柄，并非枚举进程，OD附加进程列表无法找到调试进程是因为调试进程隐藏了。 2013-1-5 19:09 0
ksmokee 雪币： 523 活跃值： (278) 能力值： ( LV7，RANK：100 ) 在线值：发帖 42 回帖 132 粉丝 8 关注私信	ksmokee 1 17 楼这个是普通的OD看不到进程如果用加了内核插件的OD就能看到进程但是无法附加 2013-1-6 09:30 0
IamHuskar 雪币： 1392 活跃值： (4867) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1654 粉丝 66 关注私信	IamHuskar 4 18 楼 http://bbs.pediy.com/showthread.php?t=156865 虚拟机试试。这个，复制一个内核驱动ntxx.exe改名为kernel.dll，放到DLL 以及INI一起。注入HkkernelDbg.dll到原版OD。看看是不是能OK。INI配置全部=1 2013-1-6 11:25 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 19 楼无法附加的原因很多，比如打不开进程附加进程API被HOOK了 2013-1-6 14:27 0
墨非雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 214 粉丝 0 关注私信	墨非 20 楼没怎么看明白,有人说下吗 2013-1-6 15:06 0
rocky火雀雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 85 粉丝 0 关注私信	rocky火雀 21 楼挺想知道答案的 2013-1-7 00:55 0
liudongdon 雪币： 72 活跃值： (225) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 36 粉丝 0 关注私信	liudongdon 22 楼顶求大神解答一下 2013-2-17 19:22 0
iloveqqp 雪币： 1530 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	iloveqqp 23 楼可能被DKOM斷鏈了 http://bbs.pediy.com/showthread.php?t=70089 2013-2-17 20:00 0
fdsbyq 雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 2 粉丝 0 关注私信	fdsbyq 24 楼用双机调试下不就可以了嘛，不过TMD有的游戏驱动保护什么的，有反双机调试的要先把双机调试搞定，再去弄这些反R3层调试的的东西 2013-3-3 19:16 0
天缺雪币： 59 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 76 粉丝 1 关注私信	天缺 25 楼撸主我告诉你吧，你HOOK的位置没对，你只打函数头给HOOK，OpenProcss这个函数一般都是深层inLineHOOK，所有你最终于还是没绕过他的保护 2013-3-5 12:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复