[求助] WIN7 x64 环境下，SSDT，内核钩子相关。。。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 198 粉丝 1 关注私信	IDGHOST 2013-3-24 20:35 2 楼 0 x64的vista以上系统启用了PatchGuard机制,禁止了大多数hook(虽然也有办法干掉它) 不排除是用户层下的hook,和OD自身问题
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 414 粉丝 2 关注私信	hrpirip 1 2013-3-24 21:27 3 楼 0 对哦=_=object钩子不算修改内核?公开变量就行么。
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 198 粉丝 1 关注私信	IDGHOST 2013-3-24 22:28 4 楼 0 貌似PG只保护idt,gdt,ssdt,内存修改和syscall
xtayaitak 雪币： 106 活跃值： (549) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 212 粉丝 0 关注私信	xtayaitak 2013-3-24 23:07 5 楼 0 应该是ring3的保护吧
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 65 粉丝 0 关注私信	kissxrl 2013-3-25 00:07 6 楼 0 就想知道下，，，，WIN7下有什么保护方法。。。怎么样快速定位保护方法。。。免得一点点的去找。。以前在 XP 下，，用 XT 大概的看下，，，SSDDT ，，内核钩子，内核线程就大概的知道了保护的方法呢。。。但是在WIN7下，，SSDT，内核钩子都没呢，，，以为是失效了呢。。。。
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-3-25 04:45 7 楼 0 regxxxobjcallback 标准保护。想附加，请先摘除。。。。各种老旧的反调试，无大神插件加持，各种无法调试
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 2013-3-25 08:43 8 楼 0 不要那么急功近利，搞什么hook……基本的系统常识都没，就开始这么急功近利了……这么做除了提点兴趣，给自己找点自信外，对于真想学东西的人，没任何好处
飞鱼online 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	飞鱼online 2013-3-25 12:59 9 楼 0 我也同样迷惑，在win7 64位下，调试有点不知道头绪。使用工具检查发现没有hook，实际调试工具却使用不正常。我总结了下（得到高人指点过）：是ring3层的保护，但是我对调试API不熟，导致目前进行反调试进度很慢。纠结中。
xiaolove雪雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	xiaolove雪 2013-3-26 09:02 10 楼 0 发现最近一款游戏也是这样，查不出内核钩子，但就是附加不了。。
Winker 雪币： 794 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 135 回帖 1135 粉丝 18 关注私信	Winker 8 2013-3-26 09:17 11 楼 0 那就死抱着xp不放，这不是很简单的道理。
飞鱼online 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	飞鱼online 2013-3-26 09:31 12 楼 0 谢谢 Winker 的回复。我倒是不想去折腾驱动。直接研究ring3层应该会简单些吧。我之前整理过处理思路，一种是结束游戏的监控线程，一种是写个程序用来保护调试工具。 1、结束游戏的监控线程：我使用process Explorer工具检查了所有线程的调用堆栈，没有发现那个线程有调用PsGetContextThread函数（我知道监控的处理API就只有这个函数了）。然后我怀疑是内存校验之类的了。<---待进一步检查。 2，由于不知道游戏具体是怎么检查调试工具的，所以第二种解决方法也没法进行下去。不知道Winker 你有没有什么建议？
凉宫春日雪币： 77 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	凉宫春日 2013-3-29 00:50 13 楼 0 开OD被检测到就断链附加OD失败就用工具去看游戏在RING3 做的防调试手脚一般都那几个地方。
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-4-5 18:37 14 楼 0 试试看关键函数R3下全部自己实现，实现到syscall为止
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (13)
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 198 粉丝 1 关注私信	IDGHOST 2013-3-24 20:35 2 楼 0 x64的vista以上系统启用了PatchGuard机制,禁止了大多数hook(虽然也有办法干掉它) 不排除是用户层下的hook,和OD自身问题
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 414 粉丝 2 关注私信	hrpirip 1 2013-3-24 21:27 3 楼 0 对哦=_=object钩子不算修改内核?公开变量就行么。
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 198 粉丝 1 关注私信	IDGHOST 2013-3-24 22:28 4 楼 0 貌似PG只保护idt,gdt,ssdt,内存修改和syscall
xtayaitak 雪币： 106 活跃值： (549) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 212 粉丝 0 关注私信	xtayaitak 2013-3-24 23:07 5 楼 0 应该是ring3的保护吧
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 65 粉丝 0 关注私信	kissxrl 2013-3-25 00:07 6 楼 0 就想知道下，，，，WIN7下有什么保护方法。。。怎么样快速定位保护方法。。。免得一点点的去找。。以前在 XP 下，，用 XT 大概的看下，，，SSDDT ，，内核钩子，内核线程就大概的知道了保护的方法呢。。。但是在WIN7下，，SSDT，内核钩子都没呢，，，以为是失效了呢。。。。
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 657 粉丝 1 关注私信	exediy 1 2013-3-25 04:45 7 楼 0 regxxxobjcallback 标准保护。想附加，请先摘除。。。。各种老旧的反调试，无大神插件加持，各种无法调试
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 2013-3-25 08:43 8 楼 0 不要那么急功近利，搞什么hook……基本的系统常识都没，就开始这么急功近利了……这么做除了提点兴趣，给自己找点自信外，对于真想学东西的人，没任何好处
飞鱼online 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	飞鱼online 2013-3-25 12:59 9 楼 0 我也同样迷惑，在win7 64位下，调试有点不知道头绪。使用工具检查发现没有hook，实际调试工具却使用不正常。我总结了下（得到高人指点过）：是ring3层的保护，但是我对调试API不熟，导致目前进行反调试进度很慢。纠结中。
xiaolove雪雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	xiaolove雪 2013-3-26 09:02 10 楼 0 发现最近一款游戏也是这样，查不出内核钩子，但就是附加不了。。
Winker 雪币： 794 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 135 回帖 1135 粉丝 18 关注私信	Winker 8 2013-3-26 09:17 11 楼 0 那就死抱着xp不放，这不是很简单的道理。
飞鱼online 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	飞鱼online 2013-3-26 09:31 12 楼 0 谢谢 Winker 的回复。我倒是不想去折腾驱动。直接研究ring3层应该会简单些吧。我之前整理过处理思路，一种是结束游戏的监控线程，一种是写个程序用来保护调试工具。 1、结束游戏的监控线程：我使用process Explorer工具检查了所有线程的调用堆栈，没有发现那个线程有调用PsGetContextThread函数（我知道监控的处理API就只有这个函数了）。然后我怀疑是内存校验之类的了。<---待进一步检查。 2，由于不知道游戏具体是怎么检查调试工具的，所以第二种解决方法也没法进行下去。不知道Winker 你有没有什么建议？
凉宫春日雪币： 77 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	凉宫春日 2013-3-29 00:50 13 楼 0 开OD被检测到就断链附加OD失败就用工具去看游戏在RING3 做的防调试手脚一般都那几个地方。
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 396 粉丝 0 关注私信	phpskycn 1 2013-4-5 18:37 14 楼 0 试试看关键函数R3下全部自己实现，实现到syscall为止
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复