能力值:
( LV6,RANK:90 )
2 楼
现在它不会删自己了,直接能拿到
能力值:
(RANK:330 )
3 楼
but...
能力值:
( LV2,RANK:10 )
4 楼
NP是什么东西?能不能不要说这么专业的术语。俺还不知道。
能力值:
( LV2,RANK:10 )
5 楼
不行啊,你改拉,它有把你的改回去拉
楼主你有源代码能不能发给我啊
我的邮箱是hgf_3@sohu.com
谢谢啊
能力值:
( LV6,RANK:90 )
6 楼
小心蓝屏啊.
能力值:
( LV2,RANK:10 )
7 楼
楼主啊,能不能把你的代码也给我发一下!
邮箱jtg1583@gmail.com!
谢谢啦!
能力值:
( LV2,RANK:10 )
8 楼
NP就是nProtect GameGuard
像什么冒险岛、奇迹等等很多游戏都用它来反外挂~~
它看见外挂啊、调试器啊,就跟见了杀父仇人似的~~
所以一般情况,都不太喜欢它。。。
能力值:
( LV9,RANK:210 )
9 楼
这种问题在驱动里来坐可能会简单点比如我是这样搞的:
先 PsSetLoadImageNotifyRoutine(Load_Image_Notify_Routine);
然后下面是处理函数
VOID Load_Image_Notify_Routine(
IN PUNICODE_STRING FullImageName,
IN HANDLE ProcessId, // where image is mapped
IN PIMAGE_INFO ImageInfo
)
{
int nRetCode = FALSE;
ULONG EntryPoint = 0;
NTSTATUS status = STATUS_UNSUCCESSFUL;
KFile File;
WCHAR wszFileName[MAX_PATH_LEN], *pwsz = NULL;
if (ImageInfo->SystemModeImage)
{
if (IsAddressValid((ULONG)FullImageName, sizeof(UNICODE_STRING)))
{
DbgPrint("LoadSystemImgae: %ws\r\n", FullImageName->Buffer);
}
pwsz = wcsrchr(FullImageName->Buffer, L'\\');
PROCESS_ERROR(pwsz);
if (!_wcsnicmp(pwsz, L"\\dump_wmimmc.sys", 16))
{
DbgPrint("dump_wmimmc.sys detected.\n");
nRetCode = US2W(FullImageName, wszFileName, MAX_PATH_LEN);
PROCESS_ERROR(nRetCode);
wcscat(wszFileName, L".dump");
nRetCode = File.OpenFile(FullImageName, GENERIC_READ);
PROCESS_ERROR(nRetCode);
nRetCode = File.CopyToFile(wszFileName);
File.Close();
}
}
Exit0:
return ;
}
能力值:
( LV9,RANK:610 )
10 楼
哈哈~~~~这个玩意~~~~拿到有什么用呢~~现在不照样把它干掉,很早就被人黑掉了,现在我也学会了哈哈~~~
能力值:
( LV2,RANK:10 )
11 楼
aaaaaaaaaaaaaaaaaaaaa,
我还在去里雾里............................
能力值:
( LV2,RANK:10 )
12 楼
我倒 说的太专业了 看不明白
能力值:
( LV2,RANK:10 )
13 楼
怎么干掉的,请教下啊。我想知道。
能力值:
( LV2,RANK:10 )
14 楼
NP本来是来防病毒的,可是韩国人居然拿来防护游戏外挂~~晕死
能力值:
( LV2,RANK:10 )
15 楼
想知道....
能力值:
( LV2,RANK:10 )
16 楼
不教教我们,发发资料么?还是 堕落天才 说的那些原理?
能力值:
( LV13,RANK:970 )
17 楼
不是从资源释放中可以直接拦截么,现在变了么
能力值:
( LV2,RANK:10 )
18 楼
要这么复杂吗?
使用一些安全软件,或者自己先拦截驱动加载过程. dump_wmimmc.sys不是轻易拿到了吗?
我拿到此文件的NP版本是1121, 此文件没加密, 181,888 字节
以下是IDA反汇编代码:
INIT:00019C76 push ebp
INIT:00019C77 mov ebp, esp
INIT:00019C79 sub esp, 38h
INIT:00019C7C push ebx
INIT:00019C7D push esi
INIT:00019C7E push edi
INIT:00019C7F push offset SourceString ; "\\Device\\dump_wmimmc"
INIT:00019C84 lea eax, [ebp+DestinationString]
INIT:00019C87 push eax ; DestinationString
INIT:00019C88 call ds:RtlInitUnicodeString
INIT:00019C8E push offset aDosdevicesDump ; "\\DosDevices\\dump_wmimmc"
INIT:00019C93 lea ecx, [ebp+SymbolicLinkName]
INIT:00019C96 push ecx ; DestinationString
INIT:00019C97 call ds:RtlInitUnicodeString
INIT:00019C9D lea edx, [ebp+DeviceObject]
INIT:00019CA0 push edx ; DeviceObject
INIT:00019CA1 push 0 ; Exclusive
INIT:00019CA3 push 100h ; DeviceCharacteristics
INIT:00019CA8 push 8402h ; DeviceType
INIT:00019CAD lea eax, [ebp+DestinationString]
INIT:00019CB0 push eax ; DeviceName
INIT:00019CB1 push 444h ; DeviceExtensionSize
INIT:00019CB6 mov ecx, [ebp+DriverObject]
INIT:00019CB9 push ecx ; DriverObject
INIT:00019CBA call ds:IoCreateDevice
INIT:00019CC0 mov [ebp+var_30], eax
INIT:00019CC3 cmp [ebp+var_30], 0
INIT:00019CC7 jl short loc_19D12
INIT:00019CC9 lea edx, [ebp+DestinationString]
INIT:00019CCC push edx ; DeviceName
INIT:00019CCD lea eax, [ebp+SymbolicLinkName]
INIT:00019CD0 push eax ; SymbolicLinkName
INIT:00019CD1 call ds:IoCreateSymbolicLink
INIT:00019CD7 mov [ebp+var_30], eax
INIT:00019CDA mov ecx, [ebp+DriverObject]
INIT:00019CDD mov dword ptr [ecx+70h], offset sub_16510
INIT:00019CE4 mov edx, [ebp+DriverObject]
INIT:00019CE7 mov eax, [ebp+DriverObject]
INIT:00019CEA mov ecx, [eax+70h]
INIT:00019CED mov [edx+40h], ecx
INIT:00019CF0 mov edx, [ebp+DriverObject]
INIT:00019CF3 mov eax, [ebp+DriverObject]
INIT:00019CF6 mov ecx, [eax+40h]
INIT:00019CF9 mov [edx+38h], ecx
INIT:00019CFC mov edx, [ebp+DriverObject]
INIT:00019CFF mov eax, [ebp+DriverObject]
INIT:00019D02 mov ecx, [eax+38h]
INIT:00019D05 mov [edx+78h], ecx
INIT:00019D08 mov edx, [ebp+DriverObject]
INIT:00019D0B mov dword ptr [edx+34h], offset sub_16600
INIT:00019D12
INIT:00019D12 loc_19D12: ; CODE XREF: start+51j
INIT:00019D12 cmp [ebp+var_30], 0
INIT:00019D16 jge short loc_19D3A
INIT:00019D18 cmp [ebp+DeviceObject], 0
INIT:00019D1C jz short loc_19D28
INIT:00019D1E mov eax, [ebp+DeviceObject]
INIT:00019D21 push eax ; DeviceObject
INIT:00019D22 call ds:IoDeleteDevice
INIT:00019D28
INIT:00019D28 loc_19D28: ; CODE XREF: start+A6j
INIT:00019D28 lea ecx, [ebp+SymbolicLinkName]
INIT:00019D2B push ecx ; SymbolicLinkName
INIT:00019D2C call ds:IoDeleteSymbolicLink
INIT:00019D32 mov eax, [ebp+var_30]
INIT:00019D35 jmp loc_1A1EA
INIT:00019D3A ; ---------------------------------------------------------------------------
INIT:00019D3A
INIT:00019D3A loc_19D3A: ; CODE XREF: start+A0j
INIT:00019D3A push 2000h ; NumberOfBytes
INIT:00019D3F call ds:MmAllocateNonCachedMemory
INIT:00019D45 mov dword_17B98, eax
INIT:00019D4A cmp dword_17B98, 0
INIT:00019D51 jnz short loc_19D5D
INIT:00019D53 mov eax, 0C000009Ah
INIT:00019D58 jmp loc_1A1EA
INIT:00019D5D ; ---------------------------------------------------------------------------
INIT:00019D5D
INIT:00019D5D loc_19D5D: ; CODE XREF: start+DBj
INIT:00019D5D jmp near ptr 3C676h
省略.
声明本人虽然已对此版本的NP进行了逆向分析,但仅出于技术角度,并没去用于木马,外挂.此目的朋友可不要来找我,呵呵
能力值:
( LV2,RANK:10 )
19 楼
NP本来是来防病毒的,可是韩国人居然拿来防护游戏外挂~~晕死
能力值:
( LV2,RANK:10 )
20 楼
我想知道怎么调用别人的驱动来保护自己的程序。。见过拿ICESWORD驱动隐藏自己程序的
能力值:
( LV2,RANK:10 )
21 楼
牛人,强烈膜拜。。。。
能力值:
( LV2,RANK:10 )
22 楼
好像经常看到有人出很高的价钱破解NP
能力值:
( LV13,RANK:330 )
23 楼
前些天我在调试时,不小心U盘的资料就被这个给删光了,还好U盘只有512M,不到一分钟就把数据恢复了!这玩意很邪恶,很有意思,值得深究啊