[求助] WIN7 x64 环境下，SSDT，内核钩子相关。。。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 2 楼 x64的vista以上系统启用了PatchGuard机制,禁止了大多数hook(虽然也有办法干掉它) 不排除是用户层下的hook,和OD自身问题 2013-3-24 20:35 0
hrpirip 雪币： 55 活跃值： (531) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 3 楼对哦=_=object钩子不算修改内核?公开变量就行么。 2013-3-24 21:27 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 4 楼貌似PG只保护idt,gdt,ssdt,内存修改和syscall 2013-3-24 22:28 0
xtayaitak 雪币： 106 活跃值： (609) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 217 粉丝 0 关注私信	xtayaitak 5 楼应该是ring3的保护吧 2013-3-24 23:07 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 6 楼就想知道下，，，，WIN7下有什么保护方法。。。怎么样快速定位保护方法。。。免得一点点的去找。。以前在 XP 下，，用 XT 大概的看下，，，SSDDT ，，内核钩子，内核线程就大概的知道了保护的方法呢。。。但是在WIN7下，，SSDT，内核钩子都没呢，，，以为是失效了呢。。。。 2013-3-25 00:07 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 7 楼 regxxxobjcallback 标准保护。想附加，请先摘除。。。。各种老旧的反调试，无大神插件加持，各种无法调试 2013-3-25 04:45 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 8 楼不要那么急功近利，搞什么hook……基本的系统常识都没，就开始这么急功近利了……这么做除了提点兴趣，给自己找点自信外，对于真想学东西的人，没任何好处 2013-3-25 08:43 0
飞鱼online 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	飞鱼online 9 楼我也同样迷惑，在win7 64位下，调试有点不知道头绪。使用工具检查发现没有hook，实际调试工具却使用不正常。我总结了下（得到高人指点过）：是ring3层的保护，但是我对调试API不熟，导致目前进行反调试进度很慢。纠结中。 2013-3-25 12:59 0
xiaolove雪雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	xiaolove雪 10 楼发现最近一款游戏也是这样，查不出内核钩子，但就是附加不了。。 2013-3-26 09:02 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 11 楼那就死抱着xp不放，这不是很简单的道理。 2013-3-26 09:17 0
飞鱼online 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	飞鱼online 12 楼谢谢 Winker 的回复。我倒是不想去折腾驱动。直接研究ring3层应该会简单些吧。我之前整理过处理思路，一种是结束游戏的监控线程，一种是写个程序用来保护调试工具。 1、结束游戏的监控线程：我使用process Explorer工具检查了所有线程的调用堆栈，没有发现那个线程有调用PsGetContextThread函数（我知道监控的处理API就只有这个函数了）。然后我怀疑是内存校验之类的了。<---待进一步检查。 2，由于不知道游戏具体是怎么检查调试工具的，所以第二种解决方法也没法进行下去。不知道Winker 你有没有什么建议？ 2013-3-26 09:31 0
凉宫春日雪币： 81 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	凉宫春日 13 楼开OD被检测到就断链附加OD失败就用工具去看游戏在RING3 做的防调试手脚一般都那几个地方。 2013-3-29 00:50 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 14 楼试试看关键函数R3下全部自己实现，实现到syscall为止 2013-4-5 18:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 2 楼 x64的vista以上系统启用了PatchGuard机制,禁止了大多数hook(虽然也有办法干掉它) 不排除是用户层下的hook,和OD自身问题 2013-3-24 20:35 0
hrpirip 雪币： 55 活跃值： (531) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 3 楼对哦=_=object钩子不算修改内核?公开变量就行么。 2013-3-24 21:27 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 4 楼貌似PG只保护idt,gdt,ssdt,内存修改和syscall 2013-3-24 22:28 0
xtayaitak 雪币： 106 活跃值： (609) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 217 粉丝 0 关注私信	xtayaitak 5 楼应该是ring3的保护吧 2013-3-24 23:07 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 6 楼就想知道下，，，，WIN7下有什么保护方法。。。怎么样快速定位保护方法。。。免得一点点的去找。。以前在 XP 下，，用 XT 大概的看下，，，SSDDT ，，内核钩子，内核线程就大概的知道了保护的方法呢。。。但是在WIN7下，，SSDT，内核钩子都没呢，，，以为是失效了呢。。。。 2013-3-25 00:07 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 7 楼 regxxxobjcallback 标准保护。想附加，请先摘除。。。。各种老旧的反调试，无大神插件加持，各种无法调试 2013-3-25 04:45 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 8 楼不要那么急功近利，搞什么hook……基本的系统常识都没，就开始这么急功近利了……这么做除了提点兴趣，给自己找点自信外，对于真想学东西的人，没任何好处 2013-3-25 08:43 0
飞鱼online 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	飞鱼online 9 楼我也同样迷惑，在win7 64位下，调试有点不知道头绪。使用工具检查发现没有hook，实际调试工具却使用不正常。我总结了下（得到高人指点过）：是ring3层的保护，但是我对调试API不熟，导致目前进行反调试进度很慢。纠结中。 2013-3-25 12:59 0
xiaolove雪雪币： 220 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	xiaolove雪 10 楼发现最近一款游戏也是这样，查不出内核钩子，但就是附加不了。。 2013-3-26 09:02 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 11 楼那就死抱着xp不放，这不是很简单的道理。 2013-3-26 09:17 0
飞鱼online 雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	飞鱼online 12 楼谢谢 Winker 的回复。我倒是不想去折腾驱动。直接研究ring3层应该会简单些吧。我之前整理过处理思路，一种是结束游戏的监控线程，一种是写个程序用来保护调试工具。 1、结束游戏的监控线程：我使用process Explorer工具检查了所有线程的调用堆栈，没有发现那个线程有调用PsGetContextThread函数（我知道监控的处理API就只有这个函数了）。然后我怀疑是内存校验之类的了。<---待进一步检查。 2，由于不知道游戏具体是怎么检查调试工具的，所以第二种解决方法也没法进行下去。不知道Winker 你有没有什么建议？ 2013-3-26 09:31 0
凉宫春日雪币： 81 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	凉宫春日 13 楼开OD被检测到就断链附加OD失败就用工具去看游戏在RING3 做的防调试手脚一般都那几个地方。 2013-3-29 00:50 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 14 楼试试看关键函数R3下全部自己实现，实现到syscall为止 2013-4-5 18:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复