[分享] 某总$KProtect 价值3000元的公司级反调试产品还原复现开源-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享] 某总$KProtect 价值3000元的公司级反调试产品还原复现开源

发表于: 2019-3-27 00:01 28069

[分享] 某总$KProtect 价值3000元的公司级反调试产品还原复现开源

Sprite雪碧

2019-3-27 00:01

28069

查看主题内容

收藏・116

免费・10

支持

最新回复 (51) ◀ 1 2 3 ▶
xiaxiansheng 雪币： 149 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 66 粉丝 0 关注私信	xiaxiansheng 26 楼刘铠文莫非你就是帖子里说的伸手党？出现了吗？！ ******* 最后于 2019-3-29 22:37 被kanxue编辑，原因：请注意语气，勿人身攻击 2019-3-28 13:03 0
gabpfiugdu 雪币： 89 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	gabpfiugdu 27 楼 crackJ 他是侯俊杰？孙金 2019-4-2 21:38 0
书生我怕怕雪币： 3 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	书生我怕怕 28 楼山总的杀手已经在来的路上了。 2019-4-3 11:35 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 29 楼 hkfans 没加VMP? 大表哥脱的壳 2019-4-13 14:04 0
咆哮猫雪币： 201 活跃值： (77) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	咆哮猫 30 楼代码不全,驱动只有驱动主函数,其他什么都没有 2019-4-26 22:37 0
最爱季节雪币： 20 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	最爱季节 31 楼感谢楼主，看帖子，知道原理就行了 2019-4-27 17:15 0
mb_pzqkedpw 雪币： 219 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_pzqkedpw 32 楼谢谢分享！！！！ 2019-5-1 10:55 0
IamHuskar 雪币： 1392 活跃值： (5177) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 33 楼邓dg 我 mfc42.dll.山总打钱 .........这个梗要笑一万年。 2019-5-1 11:03 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 34 楼见招拆招最重要 2019-5-1 13:57 0
IamHuskar 雪币： 1392 活跃值： (5177) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 35 楼 crackJ 请问楼主，山总这个梗是怎么回事，或者有大佬给指点下参考原贴每当我不开心的时候就去翻看这个帖子 https://bbs.pediy.com/thread-187590.htm 最后于 2019-5-1 14:39 被IamHuskar编辑，原因： 2019-5-1 14:38 0
JACK李冰雪币： 1454 活跃值： (84) 能力值： (RANK：10 ) 在线值：发帖 35 回帖 102 粉丝 16 关注私信	JACK李冰 36 楼《深入mfc出不来》 2019-5-1 15:02 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 37 楼 Sprite雪碧大表哥脱的壳 vmp壳脱掉后，可读性也非常差？ 2019-6-28 17:03 0
黑手鱼雪币： 1431 活跃值： (4418) 能力值： ( LV9，RANK：220 ) 在线值：发帖 17 回帖 114 粉丝 68 关注私信	黑手鱼 3 38 楼好文最后于 2019-9-21 11:22 被黑手鱼编辑，原因： 2019-9-21 11:21 0
hksoobe 雪币： 245 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 75 粉丝 7 关注私信	hksoobe 39 楼窃取了一下思路，发现如果被隐藏进程进行一些骚操作（比如CreateProcess然后改某些PEB之类），会导致所有进程无法启动，关机蓝屏~~调用栈出错在RegisterLogonProcess+0x12，目测Winlogon爆炸了，换个PID搞吧~~ 2020-3-1 22:31 0
wx_怪兽老了啊雪币： 75 活跃值： (156) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	wx_怪兽老了啊 40 楼有没有干掉这些反调试的，想看看怎么干掉=。= 2020-4-23 00:21 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 41 楼 wx_怪兽老了啊有没有干掉这些反调试的，想看看怎么干掉=。= https://bbs.pediy.com/thread-248918.htm https://bbs.pediy.com/thread-250404.htm 2020-4-23 13:28 0
sunsjw 雪币： 8764 活跃值： (5240) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1251 粉丝 15 关注私信	sunsjw 1 42 楼非常不错。 2020-5-11 11:16 0
sunsjw 雪币： 8764 活跃值： (5240) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1251 粉丝 15 关注私信	sunsjw 1 43 楼 1W元给你了吗？ 2020-5-11 20:04 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 44 楼 sunsjw 1W元给你了吗？是 @xiaofu 成功调试的，我只是根据他发的分析帖写了个 demo 出来 2020-5-12 12:17 0
大佬求关照雪币： 6 活跃值： (556) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 39 粉丝 0 关注私信	大佬求关照 45 楼这个隐藏进程在WIN7 X64里完全没用。。。仅仅是任务管理器看不到，楼主说的出现多余的进程我这边只有调试模式有这个情况，开了禁用驱动签名就没有了，然而不论是易语言自带的取系统进程还是进程快照和ZwQuerySystemInformation都能枚举到进程,可以显示正常的进程名。。。 2020-11-30 21:41 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 46 楼大佬求关照这个隐藏进程在WIN7 X64里完全没用。。。仅仅是任务管理器看不到，楼主说的出现多余的进程我这边只有调试模式有这个情况，开了禁用驱动签名就没有了，然而不论是易语言自带的取系统进程还是进程快照和ZwQ ... 本来就没用啊，啥时候说过它有用了，原分析贴也说了能枚举出来 2020-12-1 16:46 0
枭欤雪币： 0 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	枭欤 47 楼山总:"我太难了" 哈哈 2021-4-26 08:29 0
mb_rdljnbdp 雪币： 204 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_rdljnbdp 48 楼谢大佬分享 2022-2-3 02:25 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 49 楼求份$KProtect DEMO文件 2022-5-4 13:14 0
Meet8 雪币： 1185 活跃值： (755) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	Meet8 50 楼感谢楼主分享 2022-5-4 13:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Sprite雪碧

发帖

322

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (51) ◀ 1 2 3 ▶
xiaxiansheng 雪币： 149 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 66 粉丝 0 关注私信	xiaxiansheng 26 楼刘铠文莫非你就是帖子里说的伸手党？出现了吗？！ ******* 最后于 2019-3-29 22:37 被kanxue编辑，原因：请注意语气，勿人身攻击 2019-3-28 13:03 0
gabpfiugdu 雪币： 89 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 24 粉丝 0 关注私信	gabpfiugdu 27 楼 crackJ 他是侯俊杰？孙金 2019-4-2 21:38 0
书生我怕怕雪币： 3 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	书生我怕怕 28 楼山总的杀手已经在来的路上了。 2019-4-3 11:35 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 29 楼 hkfans 没加VMP? 大表哥脱的壳 2019-4-13 14:04 0
咆哮猫雪币： 201 活跃值： (77) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	咆哮猫 30 楼代码不全,驱动只有驱动主函数,其他什么都没有 2019-4-26 22:37 0
最爱季节雪币： 20 活跃值： (60) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	最爱季节 31 楼感谢楼主，看帖子，知道原理就行了 2019-4-27 17:15 0
mb_pzqkedpw 雪币： 219 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_pzqkedpw 32 楼谢谢分享！！！！ 2019-5-1 10:55 0
IamHuskar 雪币： 1392 活跃值： (5177) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 33 楼邓dg 我 mfc42.dll.山总打钱 .........这个梗要笑一万年。 2019-5-1 11:03 0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 34 楼见招拆招最重要 2019-5-1 13:57 0
IamHuskar 雪币： 1392 活跃值： (5177) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 35 楼 crackJ 请问楼主，山总这个梗是怎么回事，或者有大佬给指点下参考原贴每当我不开心的时候就去翻看这个帖子 https://bbs.pediy.com/thread-187590.htm 最后于 2019-5-1 14:39 被IamHuskar编辑，原因： 2019-5-1 14:38 0
JACK李冰雪币： 1454 活跃值： (84) 能力值： (RANK：10 ) 在线值：发帖 35 回帖 102 粉丝 16 关注私信	JACK李冰 36 楼《深入mfc出不来》 2019-5-1 15:02 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 1 关注私信	petersonhz 37 楼 Sprite雪碧大表哥脱的壳 vmp壳脱掉后，可读性也非常差？ 2019-6-28 17:03 0
黑手鱼雪币： 1431 活跃值： (4418) 能力值： ( LV9，RANK：220 ) 在线值：发帖 17 回帖 114 粉丝 68 关注私信	黑手鱼 3 38 楼好文最后于 2019-9-21 11:22 被黑手鱼编辑，原因： 2019-9-21 11:21 0
hksoobe 雪币： 245 活跃值： (294) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 75 粉丝 7 关注私信	hksoobe 39 楼窃取了一下思路，发现如果被隐藏进程进行一些骚操作（比如CreateProcess然后改某些PEB之类），会导致所有进程无法启动，关机蓝屏~~调用栈出错在RegisterLogonProcess+0x12，目测Winlogon爆炸了，换个PID搞吧~~ 2020-3-1 22:31 0
wx_怪兽老了啊雪币： 75 活跃值： (156) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	wx_怪兽老了啊 40 楼有没有干掉这些反调试的，想看看怎么干掉=。= 2020-4-23 00:21 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 41 楼 wx_怪兽老了啊有没有干掉这些反调试的，想看看怎么干掉=。= https://bbs.pediy.com/thread-248918.htm https://bbs.pediy.com/thread-250404.htm 2020-4-23 13:28 0
sunsjw 雪币： 8764 活跃值： (5240) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1251 粉丝 15 关注私信	sunsjw 1 42 楼非常不错。 2020-5-11 11:16 0
sunsjw 雪币： 8764 活跃值： (5240) 能力值： ( LV4，RANK：50 ) 在线值：发帖 47 回帖 1251 粉丝 15 关注私信	sunsjw 1 43 楼 1W元给你了吗？ 2020-5-11 20:04 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 44 楼 sunsjw 1W元给你了吗？是 @xiaofu 成功调试的，我只是根据他发的分析帖写了个 demo 出来 2020-5-12 12:17 0
大佬求关照雪币： 6 活跃值： (556) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 39 粉丝 0 关注私信	大佬求关照 45 楼这个隐藏进程在WIN7 X64里完全没用。。。仅仅是任务管理器看不到，楼主说的出现多余的进程我这边只有调试模式有这个情况，开了禁用驱动签名就没有了，然而不论是易语言自带的取系统进程还是进程快照和ZwQuerySystemInformation都能枚举到进程,可以显示正常的进程名。。。 2020-11-30 21:41 0
Sprite雪碧雪币： 9626 活跃值： (1838) 能力值： ( LV5，RANK：73 ) 在线值：发帖 2 回帖 322 粉丝 73 关注私信	Sprite雪碧 1 46 楼大佬求关照这个隐藏进程在WIN7 X64里完全没用。。。仅仅是任务管理器看不到，楼主说的出现多余的进程我这边只有调试模式有这个情况，开了禁用驱动签名就没有了，然而不论是易语言自带的取系统进程还是进程快照和ZwQ ... 本来就没用啊，啥时候说过它有用了，原分析贴也说了能枚举出来 2020-12-1 16:46 0
枭欤雪币： 0 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	枭欤 47 楼山总:"我太难了" 哈哈 2021-4-26 08:29 0
mb_rdljnbdp 雪币： 204 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_rdljnbdp 48 楼谢大佬分享 2022-2-3 02:25 0
lovenikola 雪币： 14 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 1 关注私信	lovenikola 49 楼求份$KProtect DEMO文件 2022-5-4 13:14 0
Meet8 雪币： 1185 活跃值： (755) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	Meet8 50 楼感谢楼主分享 2022-5-4 13:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[分享] 某总$KProtect 价值3000元的公司级反调试产品 还原复现开源

[分享] 某总$KProtect 价值3000元的公司级反调试产品还原复现开源