-
-
[原创]易语言驱动 过保护 内核重载 钩子扫描 DPC 等等大集合
-
发表于: 2015-8-26 18:58
-
在易语言论坛发的 在看雪备份一份 2年前写的东西了...
另外我本身很早很早 long long ago 用易语言很少了
另外 易语言的WonderWall内联汇编插件是一直准备重写的 但是没时间 关于变量的支持 完整的单步调试等等其实早已都是分析完了 没有太多时间动工
近期可能完全重新动工 C++完全重写 还要看时间 毕竟要活着
再提个事情 重要的是解决方法和思路 WW没开源之前 论坛已经有其他汇编插件 并且就是逆向的WW的方法 没见别人没代码 也不能搞出来对吧?
关于模块反编译问题 在WW第一个版本发布的时候 3年前? 我给吴老大提过这个事情 他不信 = =那就算了呗
这个开源的是易语言的驱动 请不要拿去直接编译 里面代码 也有很多错误 和值得思考的地方
毕竟这里面很多东西 写的比较早了
这个易语言驱动源码是纯源码
主要支持win7 sp1和xp sp3 实现的功能有:
动态汇编类
重载内核
内核任意位置InlineHook的类 任何函数自动重定位
各种未导出函数的查找
内核调试结构KiDebugRoutine的欺骗和转向
IDT的枚举和恢复
GDT的枚举
IOTimer的枚举 使用 和 卸载
DCPTimer的枚举
内核InlineHook的扫描 (跟XUETR那个内核钩子扫描一样)
内核有效地址判断的实现
TP GPK HS NP等保护的处理
TP IO通信算法的逆向
各种Image Create回调的枚举和删除
驱动注入Dll
等等... 还有好多 自己发现吧
其中用到了一个LIB(MyDriverLib) 因为易语言异常处理太扯蛋 所以C++的封装而已 你不懂 我也没办法了
自己下载吧:
PassGameProtectByBaby.rar
注: 牛B人物自行略过 VT什么的别跟我讨论了 我才开始上手
还有这个源码是32位的 64位没编译器...支持 JJ 再别问这些逗比问题了...
WonderWall群:18821755
附上一张随便截取的代码图:
另外我本身很早很早 long long ago 用易语言很少了
另外 易语言的WonderWall内联汇编插件是一直准备重写的 但是没时间 关于变量的支持 完整的单步调试等等其实早已都是分析完了 没有太多时间动工
近期可能完全重新动工 C++完全重写 还要看时间 毕竟要活着
再提个事情 重要的是解决方法和思路 WW没开源之前 论坛已经有其他汇编插件 并且就是逆向的WW的方法 没见别人没代码 也不能搞出来对吧?
关于模块反编译问题 在WW第一个版本发布的时候 3年前? 我给吴老大提过这个事情 他不信 = =那就算了呗
这个开源的是易语言的驱动 请不要拿去直接编译 里面代码 也有很多错误 和值得思考的地方
毕竟这里面很多东西 写的比较早了
这个易语言驱动源码是纯源码
主要支持win7 sp1和xp sp3 实现的功能有:
动态汇编类
重载内核
内核任意位置InlineHook的类 任何函数自动重定位
各种未导出函数的查找
内核调试结构KiDebugRoutine的欺骗和转向
IDT的枚举和恢复
GDT的枚举
IOTimer的枚举 使用 和 卸载
DCPTimer的枚举
内核InlineHook的扫描 (跟XUETR那个内核钩子扫描一样)
内核有效地址判断的实现
TP GPK HS NP等保护的处理
TP IO通信算法的逆向
各种Image Create回调的枚举和删除
驱动注入Dll
等等... 还有好多 自己发现吧
其中用到了一个LIB(MyDriverLib) 因为易语言异常处理太扯蛋 所以C++的封装而已 你不懂 我也没办法了
自己下载吧:
PassGameProtectByBaby.rar
注: 牛B人物自行略过 VT什么的别跟我讨论了 我才开始上手
还有这个源码是32位的 64位没编译器...支持 JJ 再别问这些逗比问题了...
WonderWall群:18821755
附上一张随便截取的代码图:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
