-
-
[原创]水貼:關於KiFastCallEntry的新玩法---過保護的同學注意啦
-
发表于:
2014-6-23 14:17
8099
-
[原创]水貼:關於KiFastCallEntry的新玩法---過保護的同學注意啦
内核重载+Hook KiFastCallEntry已经烂大街,白菜价格的技术了,所以我们要创新,我们要有新玩法:内核重载新玩法---借尸还魂。什么叫借尸还魂?基本的解释就是:迷信传说人死后灵魂还会借别人的尸体复活。但是用在计算机里面,顾名思义就是借助别人的东西来实现自己的目的。也就是借尸还魂的基本理论:借助360的HookPort,我们再Hook 360这个函数,即可绕过一些游戏保护对此函数的检测。那我们现在先来看360对KiFastCallEntry的Hook:
80542600 8b3f mov edi,dword ptr [edi]
80542602 8b1c87 mov ebx,dword ptr [edi+eax*4]
80542605 e9d6945109 jmp 89a5bae0
lkd> u 89a5bae0
89a5bae0 e91f5e8527 jmp b12b1904
89a5bae5 0000 add byte ptr [eax],al
89a5bae7 0002 add byte ptr [edx],al
89a5bae9 0003 add byte ptr [ebx],al
lkd> u b12b1904 l 20
b12b1904 8bff mov edi,edi
b12b1906 9c pushfd
b12b1907 60 pushad
b12b1908 57 push edi
b12b1909 53 push ebx
b12b190a 50 push eax
b12b190b e860ffffff call b12b1870
b12b1910 89442410 mov dword ptr [esp+10h],eax
b12b1914 61 popad
b12b1915 9d popfd
b12b1916 2be1 sub esp,ecx
b12b1918 c1e902 shr ecx,2
b12b191b ff351c432bb1 push dword ptr ds:[0B12B431Ch]
b12b1921 c3 ret
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)