[原创]对64位下*P的学习(不用过PG)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]对64位下*P的学习(不用过PG)

发表于: 2015-3-29 16:48 53320

[原创]对64位下*P的学习(不用过PG)

zfdyq

2015-3-29 16:48

53320

前不久研究了一些32位下各种保护，收获颇多，但是在32位下由于内存限制所以，卡卡的感觉让人很不爽，于是研究了一下64为下的保护。

测试游戏：JFZR 环境：win7 x64

一：首先是双击调试，我之前发过一篇帖子，总结过双击调试的一些关键变量之类的东西，64位和32位基本想通，详细的可以看我之前的帖子，地址：http://bbs.pediy.com/showthread.php?t=196149
PS：过双击调试的时候要打一下PG的补丁，以为要替换那几个全局变量，还有就是Inline Hook IoAllocateMdl这个函数。这里再贴一下代理函数：

PMDL newIoAllocateMdl(
        __in_opt PVOID  VirtualAddress,
        __in ULONG  Length,
        __in BOOLEAN  SecondaryBuffer,
        __in BOOLEAN  ChargeQuota,
        __inout_opt PIRP  Irp  OPTIONAL)
{

        if (VirtualAddress == KdEnteredDebugger)
        {
                //DbgPrint("[KdEnteredDebugger] address: %p\n", KdEnteredDebugger);
                VirtualAddress = (PUCHAR)KdEnteredDebugger + 0x30;  
        }

        return oldIoAllocateMdl(VirtualAddress, Length, SecondaryBuffer, ChargeQuota, Irp);
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.jpg （137.73kb，183次下载）
QQ截图20150329115738.jpg （87.25kb，666次下载）
Test.rar （12.04kb，1894次下载）

收藏・131

免费・4

支持

最新回复 (98) 1 2 3 4 ▶
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 2 楼学习了，mark一下，火钳刘明 2015-3-29 16:56 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 3 楼大牛技术资料可否分享下 2015-3-29 16:59 0
duanqiang 雪币： 8 活跃值： (120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 90 粉丝 0 关注私信	duanqiang 4 楼膜拜看雪的大神；菜鸟路过 2015-3-29 17:43 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 5 楼我看的TA那套教程 2015-3-29 17:58 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 6 楼学习了，mark一下. 2015-3-29 18:21 0
rozbo 雪币： 102 活跃值： (142) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 0 关注私信	rozbo 7 楼这个必须mark 2015-3-29 18:28 0
yxwdjsw 雪币： 155 活跃值： (132) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	yxwdjsw 8 楼学习了,谢谢分享 2015-3-29 18:59 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 9 楼 mark谢谢分享 2015-3-29 19:05 0
浙江螃蟹雪币： 5467 活跃值： (1430) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 142 粉丝 0 关注私信	浙江螃蟹 10 楼这个要学习的。。 2015-3-29 19:09 0
aLevel 雪币： 11 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 55 粉丝 0 关注私信	aLevel 11 楼楼主好人，不过如果能把调试的步骤说得详细点就更好了。比如怎么知道（计算）出那个线程ID的 2015-3-29 19:24 0
褐眼男子雪币： 60 活跃值： (439) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 308 粉丝 4 关注私信	褐眼男子 1 12 楼学习了感谢 2015-3-29 19:35 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 13 楼求给传送门十分感觉 2015-3-29 19:36 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 14 楼是 Tesla.Angela 吗 2015-3-29 19:39 0
aLevel 雪币： 11 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 55 粉丝 0 关注私信	aLevel 15 楼 PsSetCreateProcessNotifyRoutine((PCREATE_PROCESS_NOTIFY_ROUTINE)NotifyAddr, TRUE); 这个是FALSE吧？ 2015-3-29 19:45 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 16 楼 [QUOTE=aLevel;1362081]PsSetCreateProcessNotifyRoutine((PCREATE_PROCESS_NOTIFY_ROUTINE)NotifyAddr, TRUE); 这个是FALSE吧？[/QUOTE] true是remove 可以仔细看一下api 2015-3-29 20:01 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 17 楼那个线程你下kiuserexcrptiondispatcher访问断点可以找到，帖子上也说了：） 2015-3-29 20:04 0
sinmon 雪币： 163 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	sinmon 18 楼 Mark 2015-3-29 20:39 0
网监张局雪币： 318 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 42 粉丝 1 关注私信	网监张局 1 19 楼 X64 天生就是过保护的那些猥琐的inlineHook , IDT hook 都是禁止的多好的64位 2015-3-29 21:32 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 20 楼是啊，X64确实造福大众 2015-3-29 21:37 0
子琳雪币： 178 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 174 粉丝 1 关注私信	子琳 21 楼枫哥精华帖，必须顶！向枫哥学习！ 2015-3-29 21:39 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 22 楼 http://bbs.pediy.com/showthread.php?t=187348&highlight=64 2015-3-29 22:14 0
pedipaj 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	pedipaj 23 楼 mark 好贴 2015-3-29 23:05 0
VCKFC 雪币： 9941 活跃值： (2143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 319 粉丝 16 关注私信	VCKFC 24 楼 VOID InitKillThread() { //get pspterminatethreadbypointer ULONG32 callcode = 0; ULONG64 AddressOfPspTTBP = 0, AddressOfPsTST = 0, i = 0; PETHREAD Thread = NULL; PEPROCESS tProcess = NULL; NTSTATUS status = 0; if (PspTerminateThreadByPointer == NULL) { AddressOfPsTST = (ULONG64)GetFunctionAddr(L"PsTerminateSystemThread"); if (AddressOfPsTST == 0) return STATUS_UNSUCCESSFUL; for (i = 1; i < 0xff; i++) { if (MmIsAddressValid((PVOID)(AddressOfPsTST + i)) != FALSE) { if ((BYTE )(AddressOfPsTST + i) == 0x01 && (BYTE )(AddressOfPsTST + i + 1) == 0xe8) //目标地址-原始地址-5=机器码 ==> 目标地址=机器码+5+原始地址 { RtlMoveMemory(&callcode, (PVOID)(AddressOfPsTST + i + 2), 4); AddressOfPspTTBP = (ULONG64)callcode + 5 + AddressOfPsTST + i + 1; } } } PspTerminateThreadByPointer = (PSPTERMINATETHREADBYPOINTER)AddressOfPspTTBP; DbgPrint("PspTerminateThreadByPointer:%p\n", PspTerminateThreadByPointer); } } 这能编译?什么编译器啊？我读书少，不要骗我！ 2015-3-29 23:08 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 25 楼 VS2013+WDK8.1~ 2015-3-29 23:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zfdyq

发帖

186

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (98) 1 2 3 4 ▶
scxc 雪币： 2907 活跃值： (1301) 能力值： ( LV12，RANK：215 ) 在线值：发帖 7 回帖 74 粉丝 31 关注私信	scxc 3 2 楼学习了，mark一下，火钳刘明 2015-3-29 16:56 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 3 楼大牛技术资料可否分享下 2015-3-29 16:59 0
duanqiang 雪币： 8 活跃值： (120) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 90 粉丝 0 关注私信	duanqiang 4 楼膜拜看雪的大神；菜鸟路过 2015-3-29 17:43 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 5 楼我看的TA那套教程 2015-3-29 17:58 0
whypro 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 254 粉丝 0 关注私信	whypro 6 楼学习了，mark一下. 2015-3-29 18:21 0
rozbo 雪币： 102 活跃值： (142) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 65 粉丝 0 关注私信	rozbo 7 楼这个必须mark 2015-3-29 18:28 0
yxwdjsw 雪币： 155 活跃值： (132) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	yxwdjsw 8 楼学习了,谢谢分享 2015-3-29 18:59 0
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 9 楼 mark谢谢分享 2015-3-29 19:05 0
浙江螃蟹雪币： 5467 活跃值： (1430) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 142 粉丝 0 关注私信	浙江螃蟹 10 楼这个要学习的。。 2015-3-29 19:09 0
aLevel 雪币： 11 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 55 粉丝 0 关注私信	aLevel 11 楼楼主好人，不过如果能把调试的步骤说得详细点就更好了。比如怎么知道（计算）出那个线程ID的 2015-3-29 19:24 0
褐眼男子雪币： 60 活跃值： (439) 能力值： ( LV5，RANK：65 ) 在线值：发帖 75 回帖 308 粉丝 4 关注私信	褐眼男子 1 12 楼学习了感谢 2015-3-29 19:35 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 13 楼求给传送门十分感觉 2015-3-29 19:36 0
蛋蛋好疼雪币： 376 活跃值： (92) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 247 粉丝 0 关注私信	蛋蛋好疼 14 楼是 Tesla.Angela 吗 2015-3-29 19:39 0
aLevel 雪币： 11 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 55 粉丝 0 关注私信	aLevel 15 楼 PsSetCreateProcessNotifyRoutine((PCREATE_PROCESS_NOTIFY_ROUTINE)NotifyAddr, TRUE); 这个是FALSE吧？ 2015-3-29 19:45 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 16 楼 [QUOTE=aLevel;1362081]PsSetCreateProcessNotifyRoutine((PCREATE_PROCESS_NOTIFY_ROUTINE)NotifyAddr, TRUE); 这个是FALSE吧？[/QUOTE] true是remove 可以仔细看一下api 2015-3-29 20:01 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 17 楼那个线程你下kiuserexcrptiondispatcher访问断点可以找到，帖子上也说了：） 2015-3-29 20:04 0
sinmon 雪币： 163 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	sinmon 18 楼 Mark 2015-3-29 20:39 0
网监张局雪币： 318 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 42 粉丝 1 关注私信	网监张局 1 19 楼 X64 天生就是过保护的那些猥琐的inlineHook , IDT hook 都是禁止的多好的64位 2015-3-29 21:32 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 20 楼是啊，X64确实造福大众 2015-3-29 21:37 0
子琳雪币： 178 活跃值： (125) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 174 粉丝 1 关注私信	子琳 21 楼枫哥精华帖，必须顶！向枫哥学习！ 2015-3-29 21:39 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 22 楼 http://bbs.pediy.com/showthread.php?t=187348&highlight=64 2015-3-29 22:14 0
pedipaj 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	pedipaj 23 楼 mark 好贴 2015-3-29 23:05 0
VCKFC 雪币： 9941 活跃值： (2143) 能力值： ( LV3，RANK：20 ) 在线值：发帖 32 回帖 319 粉丝 16 关注私信	VCKFC 24 楼 VOID InitKillThread() { //get pspterminatethreadbypointer ULONG32 callcode = 0; ULONG64 AddressOfPspTTBP = 0, AddressOfPsTST = 0, i = 0; PETHREAD Thread = NULL; PEPROCESS tProcess = NULL; NTSTATUS status = 0; if (PspTerminateThreadByPointer == NULL) { AddressOfPsTST = (ULONG64)GetFunctionAddr(L"PsTerminateSystemThread"); if (AddressOfPsTST == 0) return STATUS_UNSUCCESSFUL; for (i = 1; i < 0xff; i++) { if (MmIsAddressValid((PVOID)(AddressOfPsTST + i)) != FALSE) { if ((BYTE )(AddressOfPsTST + i) == 0x01 && (BYTE )(AddressOfPsTST + i + 1) == 0xe8) //目标地址-原始地址-5=机器码 ==> 目标地址=机器码+5+原始地址 { RtlMoveMemory(&callcode, (PVOID)(AddressOfPsTST + i + 2), 4); AddressOfPspTTBP = (ULONG64)callcode + 5 + AddressOfPsTST + i + 1; } } } PspTerminateThreadByPointer = (PSPTERMINATETHREADBYPOINTER)AddressOfPspTTBP; DbgPrint("PspTerminateThreadByPointer:%p\n", PspTerminateThreadByPointer); } } 这能编译?什么编译器啊？我读书少，不要骗我！ 2015-3-29 23:08 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 25 楼 VS2013+WDK8.1~ 2015-3-29 23:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复