[求助]关于最新过TP驱动保护-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]关于最新过TP驱动保护

发表于: 2014-5-17 14:14 30638

[求助]关于最新过TP驱动保护

wanglixued 活跃值

2014-5-17 14:14

30638

我用和尚过驱动教程里面的passTp文件夹中的源码编译了一个驱动，能正常运行，可是OD无法看到DNF的进程，为什么？希望前辈能给回答一下，谢谢！

#调试逆向

收藏・3

免费・0

支持

最新回复 (36) 1 2 ▶
lidagogo 雪币： 68 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 2 楼被和谐了 2014-5-17 16:05 0
wanglixued 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	wanglixued 3 楼噢，那现在可以用什么办法呢，望大牛指点迷津！ 2014-5-17 16:19 0
lidagogo 雪币： 68 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 4 楼不好意思我是菜鸟不是大牛 2014-5-17 16:21 0
wanglixued 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	wanglixued 5 楼是什么不重要，主要是想大家一起研究学习，查了很久了，找不到最新的相关资料！ 2014-5-17 16:25 0
lidagogo 雪币： 68 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 6 楼什么叫最新一出来就和谐关键问题还是得见招拆招论坛上有关的你看懂了然后思考调试想对策就能解决掉其实我也不研究TP 呵呵见笑了 2014-5-17 17:18 0
南门听雨雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	南门听雨 7 楼见光死肯定的啦游戏官方写保护的程序员，在论坛潜水的多了去了 2014-5-17 18:00 0
’’’hate 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 50 粉丝 0 关注私信	’’’hate 8 楼你用第几课的源码 2014-5-24 17:44 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 9 楼你的产物是什么年代的东西呀，呵呵，TP总不能等你拿一个教程给给干掉了吧，那TP的工程师就会被抄鱿鱼了 2014-5-24 21:19 0
wanglixued 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	wanglixued 10 楼第二课的源码，实际上最后一课的源码我也试过。 2014-5-25 05:55 0
wanglixued 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	wanglixued 11 楼你说这些我都懂，我在看雪发这个贴子就是想问问，怎样才能让OD附加的时候发现DNF。你说你回这么句话有意思么？ 2014-5-25 05:57 0
南门听雨雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	南门听雨 12 楼 calm down 2014-5-25 16:48 0
wanglixued 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	wanglixued 13 楼嗯，这一天来来回回的扯皮真没意思！ 2014-5-26 07:38 0
jtmarmot 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	jtmarmot 14 楼用InlineHook,直接绕过 call ObOpenObjectByPointer就行了，记得这俩函数都得处理 NtOpenProcess，NtOpenThread。恢复好后，OD只能在进程列表里看到，想要附加，还要处理很多东西。 2014-5-27 10:29 0
jtmarmot 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	jtmarmot 15 楼以前TP都在再kiAttachProcess里做的inline Hook，刚看了下最新的dnf，直接改的上层KeAttachProcess函数头。尽量绕，别恢复，tp有代码检测 2014-5-27 10:32 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 16 楼这种基础概念,在那套教程都有讲解的,自己太浮躁了,跳起看,当然不知道了,教程太久远. 2014-5-27 16:35 0
wanglixued 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	wanglixued 17 楼多谢大神不吝赐教！困惑我半个多月了，终于有人肯出来指点我了！ 2014-5-27 20:50 0
alazif 雪币： 74 活跃值： (243) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 18 楼求教现在TP的0x99999999是检测哪里的说肯赐教的话求私信 2014-5-28 14:48 0
木瓜枫叶雪币： 459 活跃值： (398) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 19 楼 999999999 2014-5-30 16:30 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 20 楼 TP的0x99999999是检测是什么东西呀，问下大牛们 2014-6-1 17:23 0
kriestian 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	kriestian 21 楼其他都OK了就是恢复KeAttachProcess 蓝屏擦、、、 2014-6-3 00:08 0
lidagogo 雪币： 68 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 22 楼 0x99999999 是不是他们讲的双机调试检测虚拟机检测 2014-6-3 01:35 0
一缕忧伤雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	一缕忧伤 23 楼最新的TP我也弄不了，TP最近更新的有点快，跟不上趟喽。 ReloadKernel+Hook KiFastCallEntry,之前还好使的，前两天去看，OD附加的时候会卡死。。。硬断检测和双机调试蓝屏都没处理，彻底歇菜了。 2014-6-3 04:04 0
pregnant 雪币： 68 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 106 粉丝 0 关注私信	pregnant 24 楼弄得怎么样了啊 2014-6-3 15:02 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 25 楼 21楼的 "其他都OK了就是恢复KeAttachProcess 蓝屏擦、、、 " 是不是真的其他都OK了，交流交流呀 2014-6-3 16:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wanglixued

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (36) 1 2 ▶
lidagogo 雪币： 68 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 2 楼被和谐了 2014-5-17 16:05 0
wanglixued 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	wanglixued 3 楼噢，那现在可以用什么办法呢，望大牛指点迷津！ 2014-5-17 16:19 0
lidagogo 雪币： 68 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 4 楼不好意思我是菜鸟不是大牛 2014-5-17 16:21 0
wanglixued 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	wanglixued 5 楼是什么不重要，主要是想大家一起研究学习，查了很久了，找不到最新的相关资料！ 2014-5-17 16:25 0
lidagogo 雪币： 68 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 6 楼什么叫最新一出来就和谐关键问题还是得见招拆招论坛上有关的你看懂了然后思考调试想对策就能解决掉其实我也不研究TP 呵呵见笑了 2014-5-17 17:18 0
南门听雨雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	南门听雨 7 楼见光死肯定的啦游戏官方写保护的程序员，在论坛潜水的多了去了 2014-5-17 18:00 0
’’’hate 雪币： 26 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 50 粉丝 0 关注私信	’’’hate 8 楼你用第几课的源码 2014-5-24 17:44 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 9 楼你的产物是什么年代的东西呀，呵呵，TP总不能等你拿一个教程给给干掉了吧，那TP的工程师就会被抄鱿鱼了 2014-5-24 21:19 0
wanglixued 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	wanglixued 10 楼第二课的源码，实际上最后一课的源码我也试过。 2014-5-25 05:55 0
wanglixued 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	wanglixued 11 楼你说这些我都懂，我在看雪发这个贴子就是想问问，怎样才能让OD附加的时候发现DNF。你说你回这么句话有意思么？ 2014-5-25 05:57 0
南门听雨雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	南门听雨 12 楼 calm down 2014-5-25 16:48 0
wanglixued 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	wanglixued 13 楼嗯，这一天来来回回的扯皮真没意思！ 2014-5-26 07:38 0
jtmarmot 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	jtmarmot 14 楼用InlineHook,直接绕过 call ObOpenObjectByPointer就行了，记得这俩函数都得处理 NtOpenProcess，NtOpenThread。恢复好后，OD只能在进程列表里看到，想要附加，还要处理很多东西。 2014-5-27 10:29 0
jtmarmot 雪币： 195 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 31 粉丝 0 关注私信	jtmarmot 15 楼以前TP都在再kiAttachProcess里做的inline Hook，刚看了下最新的dnf，直接改的上层KeAttachProcess函数头。尽量绕，别恢复，tp有代码检测 2014-5-27 10:32 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 16 楼这种基础概念,在那套教程都有讲解的,自己太浮躁了,跳起看,当然不知道了,教程太久远. 2014-5-27 16:35 0
wanglixued 雪币： 237 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	wanglixued 17 楼多谢大神不吝赐教！困惑我半个多月了，终于有人肯出来指点我了！ 2014-5-27 20:50 0
alazif 雪币： 74 活跃值： (243) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 73 粉丝 0 关注私信	alazif 18 楼求教现在TP的0x99999999是检测哪里的说肯赐教的话求私信 2014-5-28 14:48 0
木瓜枫叶雪币： 459 活跃值： (398) 能力值： ( LV8，RANK：120 ) 在线值：发帖 22 回帖 515 粉丝 6 关注私信	木瓜枫叶 2 19 楼 999999999 2014-5-30 16:30 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 20 楼 TP的0x99999999是检测是什么东西呀，问下大牛们 2014-6-1 17:23 0
kriestian 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	kriestian 21 楼其他都OK了就是恢复KeAttachProcess 蓝屏擦、、、 2014-6-3 00:08 0
lidagogo 雪币： 68 活跃值： (150) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 240 粉丝 0 关注私信	lidagogo 22 楼 0x99999999 是不是他们讲的双机调试检测虚拟机检测 2014-6-3 01:35 0
一缕忧伤雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	一缕忧伤 23 楼最新的TP我也弄不了，TP最近更新的有点快，跟不上趟喽。 ReloadKernel+Hook KiFastCallEntry,之前还好使的，前两天去看，OD附加的时候会卡死。。。硬断检测和双机调试蓝屏都没处理，彻底歇菜了。 2014-6-3 04:04 0
pregnant 雪币： 68 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 106 粉丝 0 关注私信	pregnant 24 楼弄得怎么样了啊 2014-6-3 15:02 0
天涯何处雪币： 44 活跃值： (186) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 335 粉丝 1 关注私信	天涯何处 25 楼 21楼的 "其他都OK了就是恢复KeAttachProcess 蓝屏擦、、、 " 是不是真的其他都OK了，交流交流呀 2014-6-3 16:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复