首页
社区
课程
招聘
[旧帖] 已经过了某P的驱动 0.00雪花
发表于: 2014-1-7 16:16 7539

[旧帖] 已经过了某P的驱动 0.00雪花

2014-1-7 16:16
7539
已经过了:
        My_RecoveryHook_NtOpenProcess();
        My_RecoveryHook_NtOpenThread();
        My_RecoveryHook_ReadAndWrite();
        Anti_KeStackAttachProcess();
      以及debugport 清零 ,
     object清零貌似该TP没清
但是用OD调试还是没有数据显示,请查看下附件,然后过一会儿Tp弹出对话框。
请问还有哪些未清理?求高手指教!
thanks

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (24)
雪    币: 11
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
出现非法都是被TP检测到了
2014-1-7 23:46
0
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
貌似以前看过这种问题。这是由于附加后没有调用DbgBreakPoint未产生第一个异常导致的。
在OD里按F12再按F9看看,至于非法,问题多了。可能是你的OD被检测到了。
2014-1-8 15:03
0
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
推荐用原版的OD配合SOD,以前调试TP保护的程序我是这样的
2014-1-8 15:04
0
雪    币: 30
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
cc断吧? 人家有内存效验的!
2014-1-8 15:04
0
雪    币: 135
活跃值: (2127)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
[QUOTE=永远的神话;1253876]推荐用原版的OD配合SOD,以前调试TP保护的程序我是这样的[/QUOTE]
谢谢,我在去看看
2014-1-8 22:25
0
雪    币: 135
活跃值: (2127)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
如何校验的?
2014-1-8 22:26
0
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
整体来说,TP是有检测OD调试器的。
吾爱破解的貌似调试都会出这个问题,把SOD配置好下就行了。
不能显示是因为
情况一没有断点被触发(这个有可能出现,不过带上SOD应该不会出现),
情况二读内存的函数没处理好,被改回去了。
情况三虚拟地址被隐藏了(可能性最大,看楼下)。
2014-1-8 23:26
0
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
没有记错的话,TP是有hook VAD树,通过修改这个二叉树可以实现OD访问的时候是黑色空内容。搜下资料改下就行了。
2014-1-8 23:28
0
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
推荐的方法还是ring3下剥离TP,省事,但不省力,但是几乎一劳永逸。
2014-1-8 23:31
0
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
你运气真好,我提了好几个问题,每一个人答有意义的答案给我。
2014-1-8 23:32
0
雪    币: 135
活跃值: (2127)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
真的非常感谢你~每一位大神都像你一样就好了
2014-1-9 11:06
0
雪    币: 95
活跃值: (119)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
看到大神说剥离某P,求指教。。。。。
2014-1-9 12:02
0
雪    币: 135
活跃值: (2127)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
我看了下TP进程的VAD
ControlArea和FirstPrototypePte都被清空了,这个地址如何恢复
上传的附件:
2014-1-9 13:30
0
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
typedef struct _MMVAD {
    union {
        LONG_PTR Balance : 2;
        struct _MMVAD *Parent;
    } u1;
    struct _MMVAD *LeftChild;
    struct _MMVAD *RightChild;
    ULONG_PTR StartingVpn;
    ULONG_PTR EndingVpn;

    union {
        ULONG_PTR LongFlags;
        MMVAD_FLAGS VadFlags;
    } u;
    PCONTROL_AREA ControlArea;
    PMMPTE FirstPrototypePte;
    PMMPTE LastContiguousPte;
    union {
        ULONG LongFlags2;
        MMVAD_FLAGS2 VadFlags2;
    } u2;
} MMVAD, *PMMVAD;
先在TP启动前获取(TP有两次加载,第一次是loader)这两个结构的值,然后在驱动中自己建立这两个结构,把指针填上去就可以了。
2014-1-9 18:35
0
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
我可不是大神,剥离的难度在于自建通信这一步。其它的依样画葫芦就可以了。
2014-1-9 18:42
0
雪    币: 35
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
其实我是来灌水的。。。
2014-1-9 23:56
0
雪    币: 39
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
大神,清0如何找,求指导
2014-1-10 00:30
0
雪    币: 228
活跃值: (115)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
19
X64位 安全调试!
2014-1-10 03:06
0
雪    币: 135
活跃值: (2127)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
下断eprocess+0xbc
2014-1-10 08:38
0
雪    币: 135
活跃值: (2127)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
谢谢你,我去试试
2014-1-10 08:39
0
雪    币: 26
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
我也想学过TP 但NtOpenProcess就不知道怎么过,求指点!
2014-1-10 11:37
0
雪    币: 39
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
能够留个QQ吗?
2014-1-11 10:24
0
雪    币: 257
活跃值: (67)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
24
OD被检测了
2014-1-11 11:51
0
雪    币: 36
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
直接用 ring0 调试, 用virtual kd 几乎不会被察觉。
2014-1-16 00:10
0
游客
登录 | 注册 方可回帖
返回
//