关于nprotect问题-软件逆向-看雪-安全社区|安全招聘|kanxue.com

关于nprotect问题

发表于: 2006-11-7 15:37 15430

关于nprotect问题

feiproxy

2006-11-7 15:37

15430

关于nprotect问题

请教各位朋友我在调试韩国游戏的时候遇到了nprotect

网上找了很多资料都显示没办法饶过说是很强的反病毒反外挂工具

用OD载入到游戏输入帐号密码的时候就被强行退出

想问下有没有什么好点的方法和工具可以饶过nprotect

或是隐藏我的调试工具（我用OD自带的隐藏也没办法饶过）

问题一直没解决长期在线等待高手指点

[课程]FART 脱壳王！加量不加价！FART作者讲授！

收藏・2

免费・0

支持

最新回复 (40) 1 2 ▶
boken 雪币： 152 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	boken 2 楼涉及到反外挂和反...我想一般不会有人出来说什么的... 没事，也没人瞎捣鼓那东西，除非你有特殊目的... 2006-11-7 18:01 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 3 楼最好的方法,伪造杀毒驱动进入. 2006-11-7 20:28 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 4 楼最初由鸡蛋壳* 发布* 最好的方法,伪造杀毒驱动进入. 伪造杀毒驱动？不太明白这是什么意思请详解资料显示脱壳NP 替换NP 或者是删除这文件都会无效应该是定时检测的要是有专门防NP的工具就好了 2006-11-7 23:28 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 5 楼类似的保护软件，直接吧病毒驱动全部禁止，等退后在开启 -_-! 2006-11-8 04:00 0
daysnet 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	daysnet 6 楼 nprotect 他会丢个驱动出来作监控，冰刃可以看到。以前用98还可以弄弄，现在98没装了。我来瞎说的，以驱动解驱动，鸡蛋壳能多说几句吗？不要吝啬，嘿嘿 2006-11-8 16:14 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 7 楼最初由 daysnet* 发布* nprotect 他会丢个驱动出来作监控，冰刃可以看到。以前用98还可以弄弄，现在98没装了。 ........ 驱动是npggNT.des 系统级的注入到运行的所有程序中如果可以不让OD被注入就好了大家帮忙想办法怎么样才能实现 2006-11-8 16:51 0
９５２１雪币： 1695 活跃值： (993) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 69 粉丝 2 关注私信	９５２１ 8 楼驱动是wmimmc.sys吧，npggNT.des那个是3环下的 2006-11-8 17:33 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 9 楼最初由９５２１* 发布* 驱动是wmimmc.sys吧，npggNT.des那个是3环下的不同的游戏可能是不同的NP驱动 2006-11-8 17:38 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 10 楼什么时候才能有高人帮忙解决这问题呀论坛里问这样问题的很多就是一直没解决 2006-11-9 05:19 0
堕落天才雪币： 293 活跃值： (110) 能力值： ( LV9，RANK：410 ) 在线值：发帖 13 回帖 65 粉丝 15 关注私信	堕落天才 10 11 楼 NP是利用CreateRemoteThread将npggNT.des及监视线程注入到所有进程的,据我观察,它好象不是利用远程调用Loadlibrary注入的,而是直接向进程写入代码.根据这个原理,我们有一个很简单的方法可以逃避它的监视:监视自己的进程,发现有多余的线程就杀掉.这样npggNT.des就无法注入. 2006-11-9 16:09 0
堕落天才雪币： 293 活跃值： (110) 能力值： ( LV9，RANK：410 ) 在线值：发帖 13 回帖 65 粉丝 15 关注私信	堕落天才 10 12 楼这种方法在目前任何版本NP都能用.但是有一个问题,由于WINDOWS是一个多任务系统,很难确定系统什么时候执行NP线程什么时候执行自己程序的线程.因此,一旦NP的CreateRemoteThread执行完毕而还没有轮到你的保护线程发威的话,你也可以收工回家了,因为很快你就发现你的程序已经死掉. 2006-11-9 16:14 0
堕落天才雪币： 293 活跃值： (110) 能力值： ( LV9，RANK：410 ) 在线值：发帖 13 回帖 65 粉丝 15 关注私信	堕落天才 10 13 楼说白了,这是一种方法,但是成功率不是百分百.至于什么时候会成功,问微软吧.还有一种方法,就是设置"线程陷阱",等NP监视线程自己往里面掉--自杀,这种方法成功率百分百.只是这种方法一不小心往往会害死自己的程序.原理上,用注入DLL的方法也是可以保护其他进程的,但是由于很难完全了解别的进程中所有线程信息,设置"陷阱"更危险. 2006-11-9 16:23 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 14 楼如果不是驱动级的倒是不难办不过现在大有不用驱动的嫌疑比如Themida 因为visit开始释放驱动变得很困难而且就算NT 系统也要Admin权限这显然不合理~ 因为游戏本身是不需要这个权限的所以nProtect可能不会使用驱动。。只是猜想可以用一个USER的用户来执行客户端看看没有驱动可以载入游戏不 2006-11-9 21:22 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 15 楼我试过用ICEWORD 查看进程信息载入要调试的程序时候 np没有启动快要进入游戏界面的时候一片红色显示所有的进程都被加了GameMon.des 打开进程的模块试着删除这个文件结果是要调试的程序和游戏都被关闭了后来又用了隐藏进程的工具隐藏了OD进程但GameMon.des还是会注入进OD 然后关闭不知道还有没有其他的好方法可以解决 2006-11-10 02:51 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 16 楼 2006-11-10 23:01 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 17 楼看过按键精灵这款软件为了防止nprotect的注入增加了神盾的功能有了那个神盾按键精灵的确没受NP的干扰不知道他是怎么实现的如果能把调试工具都增加那功能以后破解软件也省事 2006-11-11 02:44 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 18 楼今天看了下 np 运行的时候程序确实是多了个线程,神盾不晓得什么原理 2006-11-11 20:23 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 19 楼期待高手写出OD不受NP干扰的工具 2006-11-13 18:56 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 20 楼 csi 上传的附件： np.jpg （18.54kb，149次下载） 2006-11-13 20:11 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 21 楼 SA SC SD 2006-11-13 20:31 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 22 楼恶搞，晕看来我没什么幽默细胞 sorry 2006-11-13 21:27 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 23 楼最初由 DW_DLL* 发布* shoooo 在炫耀吗？低调一点呵呵，其实那张图是和NP完全无关的一个PE工具纯属恶搞 2006-11-13 21:30 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 24 楼最初由 shoooo* 发布* csi 刚刚一看到这熟悉的NP盾牌真的很兴奋以为shoooo真的有办法可以躲过NP的检测希望各位前辈高人多多指点小弟我一直会等待奇迹的出现 2006-11-13 21:35 0
堕落天才雪币： 293 活跃值： (110) 能力值： ( LV9，RANK：410 ) 在线值：发帖 13 回帖 65 粉丝 15 关注私信	堕落天才 10 25 楼 feiproxy //////////////// 我看你还是挺辛苦的,方法我不是已经说了么?用我说的方法,做一个DLL注入到OD里面去,在RING3层NP就干扰不了OD了,可以随便你调试什么挂了.怎么可以总是等现成的作品?估计你的编程水平一般,哎..那有什么办法呢? 不过不要埋怨看雪没高手，看雪的高人多哪，看肯不肯出手而已。 2006-11-14 08:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

feiproxy

发帖

130

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (40) 1 2 ▶
boken 雪币： 152 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	boken 2 楼涉及到反外挂和反...我想一般不会有人出来说什么的... 没事，也没人瞎捣鼓那东西，除非你有特殊目的... 2006-11-7 18:01 0
鸡蛋壳雪币： 427 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3147 粉丝 9 关注私信	鸡蛋壳 3 楼最好的方法,伪造杀毒驱动进入. 2006-11-7 20:28 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 4 楼最初由鸡蛋壳* 发布* 最好的方法,伪造杀毒驱动进入. 伪造杀毒驱动？不太明白这是什么意思请详解资料显示脱壳NP 替换NP 或者是删除这文件都会无效应该是定时检测的要是有专门防NP的工具就好了 2006-11-7 23:28 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 5 楼类似的保护软件，直接吧病毒驱动全部禁止，等退后在开启 -_-! 2006-11-8 04:00 0
daysnet 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	daysnet 6 楼 nprotect 他会丢个驱动出来作监控，冰刃可以看到。以前用98还可以弄弄，现在98没装了。我来瞎说的，以驱动解驱动，鸡蛋壳能多说几句吗？不要吝啬，嘿嘿 2006-11-8 16:14 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 7 楼最初由 daysnet* 发布* nprotect 他会丢个驱动出来作监控，冰刃可以看到。以前用98还可以弄弄，现在98没装了。 ........ 驱动是npggNT.des 系统级的注入到运行的所有程序中如果可以不让OD被注入就好了大家帮忙想办法怎么样才能实现 2006-11-8 16:51 0
９５２１雪币： 1695 活跃值： (993) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 69 粉丝 2 关注私信	９５２１ 8 楼驱动是wmimmc.sys吧，npggNT.des那个是3环下的 2006-11-8 17:33 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 9 楼最初由９５２１* 发布* 驱动是wmimmc.sys吧，npggNT.des那个是3环下的不同的游戏可能是不同的NP驱动 2006-11-8 17:38 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 10 楼什么时候才能有高人帮忙解决这问题呀论坛里问这样问题的很多就是一直没解决 2006-11-9 05:19 0
堕落天才雪币： 293 活跃值： (110) 能力值： ( LV9，RANK：410 ) 在线值：发帖 13 回帖 65 粉丝 15 关注私信	堕落天才 10 11 楼 NP是利用CreateRemoteThread将npggNT.des及监视线程注入到所有进程的,据我观察,它好象不是利用远程调用Loadlibrary注入的,而是直接向进程写入代码.根据这个原理,我们有一个很简单的方法可以逃避它的监视:监视自己的进程,发现有多余的线程就杀掉.这样npggNT.des就无法注入. 2006-11-9 16:09 0
堕落天才雪币： 293 活跃值： (110) 能力值： ( LV9，RANK：410 ) 在线值：发帖 13 回帖 65 粉丝 15 关注私信	堕落天才 10 12 楼这种方法在目前任何版本NP都能用.但是有一个问题,由于WINDOWS是一个多任务系统,很难确定系统什么时候执行NP线程什么时候执行自己程序的线程.因此,一旦NP的CreateRemoteThread执行完毕而还没有轮到你的保护线程发威的话,你也可以收工回家了,因为很快你就发现你的程序已经死掉. 2006-11-9 16:14 0
堕落天才雪币： 293 活跃值： (110) 能力值： ( LV9，RANK：410 ) 在线值：发帖 13 回帖 65 粉丝 15 关注私信	堕落天才 10 13 楼说白了,这是一种方法,但是成功率不是百分百.至于什么时候会成功,问微软吧.还有一种方法,就是设置"线程陷阱",等NP监视线程自己往里面掉--自杀,这种方法成功率百分百.只是这种方法一不小心往往会害死自己的程序.原理上,用注入DLL的方法也是可以保护其他进程的,但是由于很难完全了解别的进程中所有线程信息,设置"陷阱"更危险. 2006-11-9 16:23 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 14 楼如果不是驱动级的倒是不难办不过现在大有不用驱动的嫌疑比如Themida 因为visit开始释放驱动变得很困难而且就算NT 系统也要Admin权限这显然不合理~ 因为游戏本身是不需要这个权限的所以nProtect可能不会使用驱动。。只是猜想可以用一个USER的用户来执行客户端看看没有驱动可以载入游戏不 2006-11-9 21:22 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 15 楼我试过用ICEWORD 查看进程信息载入要调试的程序时候 np没有启动快要进入游戏界面的时候一片红色显示所有的进程都被加了GameMon.des 打开进程的模块试着删除这个文件结果是要调试的程序和游戏都被关闭了后来又用了隐藏进程的工具隐藏了OD进程但GameMon.des还是会注入进OD 然后关闭不知道还有没有其他的好方法可以解决 2006-11-10 02:51 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 16 楼 2006-11-10 23:01 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 17 楼看过按键精灵这款软件为了防止nprotect的注入增加了神盾的功能有了那个神盾按键精灵的确没受NP的干扰不知道他是怎么实现的如果能把调试工具都增加那功能以后破解软件也省事 2006-11-11 02:44 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 18 楼今天看了下 np 运行的时候程序确实是多了个线程,神盾不晓得什么原理 2006-11-11 20:23 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 19 楼期待高手写出OD不受NP干扰的工具 2006-11-13 18:56 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 20 楼 csi 上传的附件： np.jpg （18.54kb，149次下载） 2006-11-13 20:11 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 21 楼 SA SC SD 2006-11-13 20:31 0
DW_DLL 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 111 粉丝 0 关注私信	DW_DLL 22 楼恶搞，晕看来我没什么幽默细胞 sorry 2006-11-13 21:27 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 23 楼最初由 DW_DLL* 发布* shoooo 在炫耀吗？低调一点呵呵，其实那张图是和NP完全无关的一个PE工具纯属恶搞 2006-11-13 21:30 0
feiproxy 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 130 粉丝 0 关注私信	feiproxy 24 楼最初由 shoooo* 发布* csi 刚刚一看到这熟悉的NP盾牌真的很兴奋以为shoooo真的有办法可以躲过NP的检测希望各位前辈高人多多指点小弟我一直会等待奇迹的出现 2006-11-13 21:35 0
堕落天才雪币： 293 活跃值： (110) 能力值： ( LV9，RANK：410 ) 在线值：发帖 13 回帖 65 粉丝 15 关注私信	堕落天才 10 25 楼 feiproxy //////////////// 我看你还是挺辛苦的,方法我不是已经说了么?用我说的方法,做一个DLL注入到OD里面去,在RING3层NP就干扰不了OD了,可以随便你调试什么挂了.怎么可以总是等现成的作品?估计你的编程水平一般,哎..那有什么办法呢? 不过不要埋怨看雪没高手，看雪的高人多哪，看肯不肯出手而已。 2006-11-14 08:45 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复