已经过了某P的驱动-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 已经过了某P的驱动 0.00雪花

发表于: 2014-1-7 16:16 7518

[旧帖] 已经过了某P的驱动 0.00雪花

漂流的鱼

2014-1-7 16:16

7518

已经过了：
My_RecoveryHook_NtOpenProcess();
My_RecoveryHook_NtOpenThread();
My_RecoveryHook_ReadAndWrite();
Anti_KeStackAttachProcess();
以及debugport 清零，
object清零貌似该TP没清
但是用OD调试还是没有数据显示，请查看下附件，然后过一会儿Tp弹出对话框。
请问还有哪些未清理？求高手指教！

thanks

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

a.jpg （47.72kb，3次下载）
b.jpg （87.69kb，5次下载）
c.jpg （86.54kb，6次下载）

收藏・3

免费・0

支持

最新回复 (24)
pcmyth 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	pcmyth 2 楼出现非法都是被TP检测到了 2014-1-7 23:46 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 3 楼貌似以前看过这种问题。这是由于附加后没有调用DbgBreakPoint未产生第一个异常导致的。在OD里按F12再按F9看看，至于非法，问题多了。可能是你的OD被检测到了。 2014-1-8 15:03 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 4 楼推荐用原版的OD配合SOD，以前调试TP保护的程序我是这样的 2014-1-8 15:04 0
ゞ诺灬雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	ゞ诺灬 5 楼 cc断吧? 人家有内存效验的! 2014-1-8 15:04 0
漂流的鱼雪币： 135 活跃值： (2037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	漂流的鱼 6 楼 [QUOTE=永远的神话;1253876]推荐用原版的OD配合SOD，以前调试TP保护的程序我是这样的[/QUOTE] 谢谢，我在去看看 2014-1-8 22:25 0
漂流的鱼雪币： 135 活跃值： (2037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	漂流的鱼 7 楼如何校验的？ 2014-1-8 22:26 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 8 楼整体来说，TP是有检测OD调试器的。吾爱破解的貌似调试都会出这个问题，把SOD配置好下就行了。不能显示是因为情况一没有断点被触发（这个有可能出现，不过带上SOD应该不会出现），情况二读内存的函数没处理好，被改回去了。情况三虚拟地址被隐藏了（可能性最大，看楼下）。 2014-1-8 23:26 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 9 楼没有记错的话，TP是有hook VAD树，通过修改这个二叉树可以实现OD访问的时候是黑色空内容。搜下资料改下就行了。 2014-1-8 23:28 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 10 楼推荐的方法还是ring3下剥离TP，省事，但不省力，但是几乎一劳永逸。 2014-1-8 23:31 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 11 楼你运气真好，我提了好几个问题，每一个人答有意义的答案给我。 2014-1-8 23:32 0
漂流的鱼雪币： 135 活跃值： (2037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	漂流的鱼 12 楼真的非常感谢你~每一位大神都像你一样就好了 2014-1-9 11:06 0
JingSao 雪币： 95 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 91 粉丝 0 关注私信	JingSao 13 楼看到大神说剥离某P，求指教。。。。。 2014-1-9 12:02 0
漂流的鱼雪币： 135 活跃值： (2037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	漂流的鱼 14 楼我看了下TP进程的VAD ControlArea和FirstPrototypePte都被清空了，这个地址如何恢复上传的附件： e.jpg （32.39kb，4次下载） 2014-1-9 13:30 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 15 楼 typedef struct _MMVAD { union { LONG_PTR Balance : 2; struct _MMVAD Parent; } u1; struct _MMVAD LeftChild; struct _MMVAD RightChild; ULONG_PTR StartingVpn; ULONG_PTR EndingVpn; union { ULONG_PTR LongFlags; MMVAD_FLAGS VadFlags; } u; PCONTROL_AREA ControlArea; PMMPTE FirstPrototypePte; PMMPTE LastContiguousPte; union { ULONG LongFlags2; MMVAD_FLAGS2 VadFlags2; } u2; } MMVAD, PMMVAD; 先在TP启动前获取（TP有两次加载，第一次是loader）这两个结构的值，然后在驱动中自己建立这两个结构，把指针填上去就可以了。 2014-1-9 18:35 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 16 楼我可不是大神，剥离的难度在于自建通信这一步。其它的依样画葫芦就可以了。 2014-1-9 18:42 0
hsbxr 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	hsbxr 17 楼其实我是来灌水的。。。 2014-1-9 23:56 0
情爱的别雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	情爱的别 18 楼大神，清0如何找，求指导 2014-1-10 00:30 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 19 楼 X64位安全调试! 2014-1-10 03:06 0
漂流的鱼雪币： 135 活跃值： (2037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	漂流的鱼 20 楼下断eprocess+0xbc 2014-1-10 08:38 0
漂流的鱼雪币： 135 活跃值： (2037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	漂流的鱼 21 楼谢谢你，我去试试 2014-1-10 08:39 0
duwanjiang 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	duwanjiang 22 楼我也想学过TP 但NtOpenProcess就不知道怎么过，求指点！ 2014-1-10 11:37 0
情爱的别雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	情爱的别 23 楼能够留个QQ吗？ 2014-1-11 10:24 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 24 楼 OD被检测了 2014-1-11 11:51 0
wystephen 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	wystephen 25 楼直接用 ring0 调试，用virtual kd 几乎不会被察觉。 2014-1-16 00:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

漂流的鱼

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
pcmyth 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 60 粉丝 0 关注私信	pcmyth 2 楼出现非法都是被TP检测到了 2014-1-7 23:46 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 3 楼貌似以前看过这种问题。这是由于附加后没有调用DbgBreakPoint未产生第一个异常导致的。在OD里按F12再按F9看看，至于非法，问题多了。可能是你的OD被检测到了。 2014-1-8 15:03 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 4 楼推荐用原版的OD配合SOD，以前调试TP保护的程序我是这样的 2014-1-8 15:04 0
ゞ诺灬雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	ゞ诺灬 5 楼 cc断吧? 人家有内存效验的! 2014-1-8 15:04 0
漂流的鱼雪币： 135 活跃值： (2037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	漂流的鱼 6 楼 [QUOTE=永远的神话;1253876]推荐用原版的OD配合SOD，以前调试TP保护的程序我是这样的[/QUOTE] 谢谢，我在去看看 2014-1-8 22:25 0
漂流的鱼雪币： 135 活跃值： (2037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	漂流的鱼 7 楼如何校验的？ 2014-1-8 22:26 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 8 楼整体来说，TP是有检测OD调试器的。吾爱破解的貌似调试都会出这个问题，把SOD配置好下就行了。不能显示是因为情况一没有断点被触发（这个有可能出现，不过带上SOD应该不会出现），情况二读内存的函数没处理好，被改回去了。情况三虚拟地址被隐藏了（可能性最大，看楼下）。 2014-1-8 23:26 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 9 楼没有记错的话，TP是有hook VAD树，通过修改这个二叉树可以实现OD访问的时候是黑色空内容。搜下资料改下就行了。 2014-1-8 23:28 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 10 楼推荐的方法还是ring3下剥离TP，省事，但不省力，但是几乎一劳永逸。 2014-1-8 23:31 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 11 楼你运气真好，我提了好几个问题，每一个人答有意义的答案给我。 2014-1-8 23:32 0
漂流的鱼雪币： 135 活跃值： (2037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	漂流的鱼 12 楼真的非常感谢你~每一位大神都像你一样就好了 2014-1-9 11:06 0
JingSao 雪币： 95 活跃值： (119) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 91 粉丝 0 关注私信	JingSao 13 楼看到大神说剥离某P，求指教。。。。。 2014-1-9 12:02 0
漂流的鱼雪币： 135 活跃值： (2037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	漂流的鱼 14 楼我看了下TP进程的VAD ControlArea和FirstPrototypePte都被清空了，这个地址如何恢复上传的附件： e.jpg （32.39kb，4次下载） 2014-1-9 13:30 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 15 楼 typedef struct _MMVAD { union { LONG_PTR Balance : 2; struct _MMVAD Parent; } u1; struct _MMVAD LeftChild; struct _MMVAD RightChild; ULONG_PTR StartingVpn; ULONG_PTR EndingVpn; union { ULONG_PTR LongFlags; MMVAD_FLAGS VadFlags; } u; PCONTROL_AREA ControlArea; PMMPTE FirstPrototypePte; PMMPTE LastContiguousPte; union { ULONG LongFlags2; MMVAD_FLAGS2 VadFlags2; } u2; } MMVAD, PMMVAD; 先在TP启动前获取（TP有两次加载，第一次是loader）这两个结构的值，然后在驱动中自己建立这两个结构，把指针填上去就可以了。 2014-1-9 18:35 0
永远的神话雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 87 粉丝 0 关注私信	永远的神话 16 楼我可不是大神，剥离的难度在于自建通信这一步。其它的依样画葫芦就可以了。 2014-1-9 18:42 0
hsbxr 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	hsbxr 17 楼其实我是来灌水的。。。 2014-1-9 23:56 0
情爱的别雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	情爱的别 18 楼大神，清0如何找，求指导 2014-1-10 00:30 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 19 楼 X64位安全调试! 2014-1-10 03:06 0
漂流的鱼雪币： 135 活跃值： (2037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	漂流的鱼 20 楼下断eprocess+0xbc 2014-1-10 08:38 0
漂流的鱼雪币： 135 活跃值： (2037) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	漂流的鱼 21 楼谢谢你，我去试试 2014-1-10 08:39 0
duwanjiang 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	duwanjiang 22 楼我也想学过TP 但NtOpenProcess就不知道怎么过，求指点！ 2014-1-10 11:37 0
情爱的别雪币： 39 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	情爱的别 23 楼能够留个QQ吗？ 2014-1-11 10:24 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 24 楼 OD被检测了 2014-1-11 11:51 0
wystephen 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	wystephen 25 楼直接用 ring0 调试，用virtual kd 几乎不会被察觉。 2014-1-16 00:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复