[原创]Tp已经pass Only win7 32下面讲解方法-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]Tp已经pass Only win7 32下面讲解方法

发表于: 2013-8-7 16:46 36319

[原创]Tp已经pass Only win7 32下面讲解方法

小烦

活跃值

1

2013-8-7 16:46

36319

查看主题内容

收藏・78

免费・5

支持

分享

最新回复 (42) ◀ 1 2
thenight 雪币： 118 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	thenight 26 楼在今天这种小学生都会x86内核hook的环境下想简单用用wrk或者做点小hook就能"通用pass"是很天真的. 因为游戏保护扫扫内核hook 在怎样也比暴力搜"非法"驱动简单吧？通用pass法应该 hide ssdt hook \|\| 自己开中断全面模拟接管r3调试循环 NP那种坑货是连kifastentry都要查的. 如果单纯anti TP去的. 只是因为tp的crc过不了就去HOOK内核的最后还是要去处理TP扫内核hook的问题然后你还是得在TP上hook.还是要过crc 那就舍近求远了. 2013-8-8 13:28 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 27 楼 Tp是不去管了，复制kernel内存镜像的时候出了点问题，用MmIsAddressValid 就过滤掉了我想要的那块没得到不用就蓝屏不知道是内核太大还是其他原因。。。 void RtlMoveMemoryEx(int nRHookAddr,char szMacCode,int nLeng) { int i=0; for (i=0;i<nLeng;i++) { if(MmIsAddressValid(&(PVOID)szMacCode+i)) { RtlMoveMemory((char)nRHookAddr+i,szMacCode+i,1); } } } PMDL pMdl; pMdl = IoAllocateMdl(_pMirror,0x403000,FALSE,FALSE,NULL); MmProtectMdlSystemAddress(pMdl,PAGE_EXECUTE_READWRITE); IoFreeMdl(pMdl); RtlMoveMemoryEx((int)_pMirror,(char *)kernelbase,0x403000); 2013-8-8 16:12 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 28 楼搞定了我觉得是自己基础不扎实造成的 void RtlMoveMemoryEx(int nRHookAddr,char szMacCode,int nLeng) { int i=0; for (i=0;i<nLeng;i++) { if(MmIsAddressValid(szMacCode+i)) { RtlMoveMemory((char)nRHookAddr+i,szMacCode+i,1); } } } 2013-8-8 18:11 0
sorrywyb 雪币： 3110 活跃值： (143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 82 粉丝 13 关注私信	sorrywyb 29 楼研究一个 2013-8-8 20:41 0
流逝时光雪币： 70 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	流逝时光 30 楼 dbgkdebugobjecttype 干掉检测函数，然后恢复原始值=DEBUG_ALL_ACCESS，简单多了 2013-8-8 22:04 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 31 楼感谢共享谢谢 2013-8-10 12:50 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 32 楼那个图并不是非法模块什么的那个图说明此方法已经被TP pass 2013-8-10 13:03 0
SIsIa 雪币： 270 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 215 粉丝 0 关注私信	SIsIa 33 楼看楼主开的这几个工具，如果PASS完全的话不会出现非法的啊！TP对debugport有多重校验，对于TP自校验的话，只需要修改一个字节就可以了，这样就可以对TP开刀都手术了。 2013-8-10 13:17 0
xhltoo 雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	xhltoo 34 楼标记一下，有时间好好看看 2013-8-12 18:04 0
qqsunche 雪币： 172 活跃值： (81) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	qqsunche 35 楼你是不是下硬件断点了？下硬件断点会非法，因为没有看到你PASS这个东西 2013-8-13 00:20 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 36 楼我说了TP已经过了，不清楚请搜索我的帖子七夕了不带女友去玩?这么晚不睡？ 2013-8-13 00:21 0
jazzljt 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	jazzljt 37 楼 dbgkdebugobjecttype，在XP系统的数据结构对应偏移跟win7是一样的么 2013-8-15 17:07 0
mcsz 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mcsz 38 楼 mark 2013-8-18 10:35 0
tigerwood 雪币： 1906 活跃值： (712) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 177 粉丝 0 关注私信	tigerwood 39 楼多谢楼主分享啊，好东东，支持 2013-8-18 14:25 0
luyiangel 雪币： 177 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 34 粉丝 0 关注私信	luyiangel 40 楼留下Q号一起学习。有愿意的加我。275659738 2013-9-20 08:23 0
chilun 雪币： 39 活跃值： (57) 能力值： ( LV2，RANK：10 ) 在线值：发帖 60 回帖 203 粉丝 2 关注私信	chilun 41 楼兄弟，你双机调试怎么搞定的？ 2013-9-26 00:20 0
sxniao 雪币： 564 活跃值： (390) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	sxniao 42 楼 ULONG PassNtDebugActiveProcess=(ULONG)GetSSDTFunctionAddr(96)+0x9a; ULONG PassNtCreateDebugObject=(ULONG)GetSSDTFunctionAddr(61)+0x60; ULONG PassNtWaitForDebugEvent=(ULONG)GetSSDTFunctionAddr(387)+0xb5; ULONG PassNtDebugContinue=(ULONG)GetSSDTFunctionAddr(97)+0x82; ULONG PassNtRemoveProcessDebug=(ULONG)GetSSDTFunctionAddr(289)+0x6d; 你这些获取的都是同一个地址吧.. 2014-7-8 17:34 0
’’’hate 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 50 粉丝 0 关注私信	’’’hate 43 楼 GetSysImageBase这个函数怎么写啊。LZ 2014-7-14 07:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

小烦

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//