首页
社区
课程
招聘
[原创]Hide your InlineHook in Xuetr、Gmer、RKU、KD(技术解封专题)
发表于: 2013-4-26 19:43 25240

[原创]Hide your InlineHook in Xuetr、Gmer、RKU、KD(技术解封专题)

2013-4-26 19:43
25240

隐藏inlinehook已经不是新鲜招数了,因为我们有隐藏更彻底的hook,木有ark能扫得到,so,这个老技术是时候解封了。

第一种老V已经说了,poolhack~吖把我正在用的方法给公布了,鄙视下 传送门:http://bbs.pediy.com/showthread.php?t=152884

第二种也是老v发布的http://bbs.pediy.com/showthread.php?t=154384

其实就是hook MmIsAddressValid(肯定会有N多人鄙视我了。)

//适用:gmer,rku,KD
BOOLEAN __stdcall NewMmIsAddressValid(
	__in PVOID VirtualAddress
	)
{
	MMISADDRESSVALID OldMmIsAddressValid;
	PEPROCESS EProcess;
	char *ProName = NULL;

	__try{
		if (KeGetCurrentIrql() != PASSIVE_LEVEL){
			__leave;
		}
		EProcess = PsGetCurrentProcess();
		ProName = PsGetProcessImageFileName(EProcess);
		if (!ProName){
			__leave;
		}
		if (strstr(ProName,"123123.exe") != 0)
		{
			KdPrint(("%s -> %08x\n",ProName,VirtualAddress));

			//
			if (VirtualAddress == 0x80511000 ||
				VirtualAddress == 0x805c8000)
			{
				return FALSE;
			}
		}
	}
	__except(EXCEPTION_EXECUTE_HANDLER){
		goto _FuncRet;
	}
_FuncRet:
	OldMmIsAddressValid = (MMISADDRESSVALID)MmIsAddressValidHookZone;
	return OldMmIsAddressValid(VirtualAddress);
}
__inline ULONG CR4()
{
	// mov eax, cr4
	__asm _emit 0x0F __asm _emit 0x20 __asm _emit 0xE0
}

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (43)
雪    币: 371
活跃值: (72)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
2
突然觉得,驱动什么的,不加vm,不加crc,不加动态生成代码,动态解密调用什么的,被人分析好危险啊~
2013-4-26 19:49
0
雪    币: 485
活跃值: (78)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
3
mark ,thx for share it ~~awesome !!!
2013-4-26 19:53
0
雪    币: 70
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
进来学习了!
2013-4-26 21:22
0
雪    币: 773
活跃值: (442)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
5
顶起 A总 学习了
2013-4-26 22:05
0
雪    币: 100
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
学习了。多谢A总分享
2013-4-26 22:31
0
雪    币: 34
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
A总+V 就是厉害
2013-4-27 01:45
0
雪    币: 74
活跃值: (87)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
8
学习了,想起A盾的代码双机调试了几遍 学到不少东西 感谢!
2013-4-27 07:44
0
雪    币: 3836
活跃值: (4142)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
支持盾哥。。。。。。。。。。。。。。。。。
2013-4-27 08:41
0
雪    币: 2314
活跃值: (2205)
能力值: (RANK:400 )
在线值:
发帖
回帖
粉丝
10
有bin吗?懒得自己写了,想试试我的AntiSpy,嘿嘿。
2013-4-27 10:07
0
雪    币: 2314
活跃值: (2205)
能力值: (RANK:400 )
在线值:
发帖
回帖
粉丝
11
话说其实poolhack的方法,早前在AGP里就看到过了~~
2013-4-27 10:09
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
呃 多谢 分享
2013-4-27 10:20
0
雪    币: 37
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
mark一下
2013-4-27 10:21
0
雪    币: 11138
活跃值: (158)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
不加vm,就等于把源码放出来了。。
2013-4-27 10:35
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
15
  那是我告诉老v的。
2013-4-27 11:06
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
16
  话说你是男是女~
2013-4-27 11:09
0
雪    币: 773
活跃值: (442)
能力值: ( LV9,RANK:200 )
在线值:
发帖
回帖
粉丝
17
A总又**了
2013-4-27 11:15
0
雪    币: 97697
活跃值: (200829)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
18
Thanks for share.
2013-4-27 12:16
0
雪    币: 219
活跃值: (783)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
19
AntiSpy拿出来给大伙看看
2013-4-27 13:51
0
雪    币: 238
活跃值: (216)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
多谢楼主分享
2013-4-27 16:32
0
雪    币: 43
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
楼主,我爱你~
2013-4-27 16:36
0
雪    币: 244
活跃值: (63)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
好吧 学习啦
2013-4-27 21:00
0
雪    币: 55
活跃值: (519)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
23
NewMmIsAddressValid 够贱啊。
2013-4-28 10:25
0
雪    币: 615
活跃值: (590)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
24
跟随大神,努力顶起,
2013-4-28 10:31
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
25
贱是猥琐的一个标准。不比ark贱你就干不过ark。
2013-4-28 11:27
0
游客
登录 | 注册 方可回帖
返回
//