[注意]重启N次终于拿到NP的dump_wmimmc.sys文件了-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[注意]重启N次终于拿到NP的dump_wmimmc.sys文件了

发表于: 2007-5-7 14:47 23770

[注意]重启N次终于拿到NP的dump_wmimmc.sys文件了

wangkaicj

2007-5-7 14:47

23770

NP太无耻，softice一起动就玩玩了，如此蛮横的东东岂能容它在俺的机器上。。。。只是俺水平太差，

为了安全起见，随便把个什么驱动改名为dump_wmimmc.sys，用osrload加载起来，把它的坑占了，这样它就发不成标了，可以放心下断点了。

这家伙不停的CreateFile,WriteFile,CloseHandle,和DeleteFile那个文件。但是它有个特SB的地方：WriteFile。它想把文件全写0！比我还傻！！！

先bpx DeleteFileA do "d *(esp+4)", 找dump_wmimmc.sys的。往下走几步就看到WriteFile,closeHanlde,DeleteFile等。在WriteFile那行下断点。
bpx XXXX if (**(ebp-130) != 0 ) do "d *(ebp-130)"

这样就停下来的时候就看到熟悉的MZ.....的了，这时候走完CloseHandle后把它搞死就可以了（乱改EIP什么的，总之让他出错退出就可以了）。看看c:\windows\system32\drivers\ .拿文件。

原文件没有秘密。想怎么看就怎么看了。俺没权限，文件上传不了。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#软件保护

收藏・7

免费・7

支持

最新回复 (22)
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 2 楼现在它不会删自己了,直接能拿到 2007-5-12 17:55 0
Bughoho 雪币： 1946 活跃值： (243) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 3 楼 but... 2007-5-12 18:09 0
nantz 雪币： 238 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 136 粉丝 0 关注私信	nantz 4 楼 NP是什么东西？能不能不要说这么专业的术语。俺还不知道。 2007-5-12 18:18 0
beehgf 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	beehgf 5 楼不行啊,你改拉,它有把你的改回去拉楼主你有源代码能不能发给我啊我的邮箱是hgf_3@sohu.com 谢谢啊 2007-5-18 11:54 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 6 楼小心蓝屏啊. 2007-5-18 15:38 0
falchion 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 21 粉丝 0 关注私信	falchion 7 楼楼主啊,能不能把你的代码也给我发一下! 邮箱jtg1583@gmail.com! 谢谢啦! 2007-8-17 22:03 0
AkingHK 雪币： 205 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	AkingHK 8 楼 NP就是nProtect GameGuard 像什么冒险岛、奇迹等等很多游戏都用它来反外挂~~ 它看见外挂啊、调试器啊，就跟见了杀父仇人似的~~ 所以一般情况，都不太喜欢它。。。 2007-8-19 18:50 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 9 楼这种问题在驱动里来坐可能会简单点比如我是这样搞的：先 PsSetLoadImageNotifyRoutine(Load_Image_Notify_Routine); 然后下面是处理函数 VOID Load_Image_Notify_Routine( IN PUNICODE_STRING FullImageName, IN HANDLE ProcessId, // where image is mapped IN PIMAGE_INFO ImageInfo ) { int nRetCode = FALSE; ULONG EntryPoint = 0; NTSTATUS status = STATUS_UNSUCCESSFUL; KFile File; WCHAR wszFileName[MAX_PATH_LEN], *pwsz = NULL; if (ImageInfo->SystemModeImage) { if (IsAddressValid((ULONG)FullImageName, sizeof(UNICODE_STRING))) { DbgPrint("LoadSystemImgae: %ws\r\n", FullImageName->Buffer); } pwsz = wcsrchr(FullImageName->Buffer, L'\\'); PROCESS_ERROR(pwsz); if (!_wcsnicmp(pwsz, L"\\dump_wmimmc.sys", 16)) { DbgPrint("dump_wmimmc.sys detected.\n"); nRetCode = US2W(FullImageName, wszFileName, MAX_PATH_LEN); PROCESS_ERROR(nRetCode); wcscat(wszFileName, L".dump"); nRetCode = File.OpenFile(FullImageName, GENERIC_READ); PROCESS_ERROR(nRetCode); nRetCode = File.CopyToFile(wszFileName); File.Close(); } } Exit0: return ; } 2007-12-12 15:21 0
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 10 楼哈哈~~~~这个玩意~~~~拿到有什么用呢~~现在不照样把它干掉，很早就被人黑掉了，现在我也学会了哈哈~~~ 2007-12-12 15:30 0
atylon 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 122 粉丝 0 关注私信	atylon 11 楼 aaaaaaaaaaaaaaaaaaaaa, 我还在去里雾里............................ 2007-12-23 01:28 0
plaodj 雪币： 403 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 52 粉丝 0 关注私信	plaodj 12 楼我倒说的太专业了看不明白 2007-12-24 19:38 0
saskill 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	saskill 13 楼怎么干掉的，请教下啊。我想知道。 2007-12-26 13:06 0
李晓灿雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	李晓灿 14 楼 NP本来是来防病毒的,可是韩国人居然拿来防护游戏外挂~~晕死 2008-1-19 01:27 0
badapi 雪币： 213 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	badapi 15 楼想知道.... 2008-3-7 17:20 0
菜菜小J 雪币： 202 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 92 粉丝 0 关注私信	菜菜小J 16 楼不教教我们，发发资料么？还是堕落天才说的那些原理？ 2008-3-16 01:34 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 17 楼不是从资源释放中可以直接拦截么，现在变了么 2008-3-16 10:41 0
hackor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	hackor 18 楼要这么复杂吗? 使用一些安全软件,或者自己先拦截驱动加载过程. dump_wmimmc.sys不是轻易拿到了吗? 我拿到此文件的NP版本是1121, 此文件没加密, 181,888 字节以下是IDA反汇编代码: INIT:00019C76 push ebp INIT:00019C77 mov ebp, esp INIT:00019C79 sub esp, 38h INIT:00019C7C push ebx INIT:00019C7D push esi INIT:00019C7E push edi INIT:00019C7F push offset SourceString ; "\\Device\\dump_wmimmc" INIT:00019C84 lea eax, [ebp+DestinationString] INIT:00019C87 push eax ; DestinationString INIT:00019C88 call ds:RtlInitUnicodeString INIT:00019C8E push offset aDosdevicesDump ; "\\DosDevices\\dump_wmimmc" INIT:00019C93 lea ecx, [ebp+SymbolicLinkName] INIT:00019C96 push ecx ; DestinationString INIT:00019C97 call ds:RtlInitUnicodeString INIT:00019C9D lea edx, [ebp+DeviceObject] INIT:00019CA0 push edx ; DeviceObject INIT:00019CA1 push 0 ; Exclusive INIT:00019CA3 push 100h ; DeviceCharacteristics INIT:00019CA8 push 8402h ; DeviceType INIT:00019CAD lea eax, [ebp+DestinationString] INIT:00019CB0 push eax ; DeviceName INIT:00019CB1 push 444h ; DeviceExtensionSize INIT:00019CB6 mov ecx, [ebp+DriverObject] INIT:00019CB9 push ecx ; DriverObject INIT:00019CBA call ds:IoCreateDevice INIT:00019CC0 mov [ebp+var_30], eax INIT:00019CC3 cmp [ebp+var_30], 0 INIT:00019CC7 jl short loc_19D12 INIT:00019CC9 lea edx, [ebp+DestinationString] INIT:00019CCC push edx ; DeviceName INIT:00019CCD lea eax, [ebp+SymbolicLinkName] INIT:00019CD0 push eax ; SymbolicLinkName INIT:00019CD1 call ds:IoCreateSymbolicLink INIT:00019CD7 mov [ebp+var_30], eax INIT:00019CDA mov ecx, [ebp+DriverObject] INIT:00019CDD mov dword ptr [ecx+70h], offset sub_16510 INIT:00019CE4 mov edx, [ebp+DriverObject] INIT:00019CE7 mov eax, [ebp+DriverObject] INIT:00019CEA mov ecx, [eax+70h] INIT:00019CED mov [edx+40h], ecx INIT:00019CF0 mov edx, [ebp+DriverObject] INIT:00019CF3 mov eax, [ebp+DriverObject] INIT:00019CF6 mov ecx, [eax+40h] INIT:00019CF9 mov [edx+38h], ecx INIT:00019CFC mov edx, [ebp+DriverObject] INIT:00019CFF mov eax, [ebp+DriverObject] INIT:00019D02 mov ecx, [eax+38h] INIT:00019D05 mov [edx+78h], ecx INIT:00019D08 mov edx, [ebp+DriverObject] INIT:00019D0B mov dword ptr [edx+34h], offset sub_16600 INIT:00019D12 INIT:00019D12 loc_19D12: ; CODE XREF: start+51j INIT:00019D12 cmp [ebp+var_30], 0 INIT:00019D16 jge short loc_19D3A INIT:00019D18 cmp [ebp+DeviceObject], 0 INIT:00019D1C jz short loc_19D28 INIT:00019D1E mov eax, [ebp+DeviceObject] INIT:00019D21 push eax ; DeviceObject INIT:00019D22 call ds:IoDeleteDevice INIT:00019D28 INIT:00019D28 loc_19D28: ; CODE XREF: start+A6j INIT:00019D28 lea ecx, [ebp+SymbolicLinkName] INIT:00019D2B push ecx ; SymbolicLinkName INIT:00019D2C call ds:IoDeleteSymbolicLink INIT:00019D32 mov eax, [ebp+var_30] INIT:00019D35 jmp loc_1A1EA INIT:00019D3A ; --------------------------------------------------------------------------- INIT:00019D3A INIT:00019D3A loc_19D3A: ; CODE XREF: start+A0j INIT:00019D3A push 2000h ; NumberOfBytes INIT:00019D3F call ds:MmAllocateNonCachedMemory INIT:00019D45 mov dword_17B98, eax INIT:00019D4A cmp dword_17B98, 0 INIT:00019D51 jnz short loc_19D5D INIT:00019D53 mov eax, 0C000009Ah INIT:00019D58 jmp loc_1A1EA INIT:00019D5D ; --------------------------------------------------------------------------- INIT:00019D5D INIT:00019D5D loc_19D5D: ; CODE XREF: start+DBj INIT:00019D5D jmp near ptr 3C676h 省略. 声明本人虽然已对此版本的NP进行了逆向分析,但仅出于技术角度,并没去用于木马,外挂.此目的朋友可不要来找我,呵呵 2008-3-19 01:31 0
stanleycao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	stanleycao 19 楼 NP本来是来防病毒的,可是韩国人居然拿来防护游戏外挂~~晕死 2008-3-22 17:01 0
veninson 雪币： 215 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 102 粉丝 0 关注私信	veninson 20 楼我想知道怎么调用别人的驱动来保护自己的程序。。见过拿ICESWORD驱动隐藏自己程序的 2008-4-11 02:59 0
梅花心易雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	梅花心易 21 楼牛人，强烈膜拜。。。。 2008-4-12 11:19 0
shinetou 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	shinetou 22 楼好像经常看到有人出很高的价钱破解NP 2008-4-12 16:26 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 23 楼前些天我在调试时，不小心U盘的资料就被这个给删光了，还好U盘只有512M，不到一分钟就把数据恢复了！这玩意很邪恶，很有意思，值得深究啊 2008-4-18 09:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wangkaicj

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
仙剑太郎雪币： 214 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 9 回帖 242 粉丝 0 关注私信	仙剑太郎 2 2 楼现在它不会删自己了,直接能拿到 2007-5-12 17:55 0
Bughoho 雪币： 1946 活跃值： (243) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 3 楼 but... 2007-5-12 18:09 0
nantz 雪币： 238 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 136 粉丝 0 关注私信	nantz 4 楼 NP是什么东西？能不能不要说这么专业的术语。俺还不知道。 2007-5-12 18:18 0
beehgf 雪币： 191 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	beehgf 5 楼不行啊,你改拉,它有把你的改回去拉楼主你有源代码能不能发给我啊我的邮箱是hgf_3@sohu.com 谢谢啊 2007-5-18 11:54 0
steak 雪币： 243 活跃值： (274) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 113 粉丝 14 关注私信	steak 2 6 楼小心蓝屏啊. 2007-5-18 15:38 0
falchion 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 21 粉丝 0 关注私信	falchion 7 楼楼主啊,能不能把你的代码也给我发一下! 邮箱jtg1583@gmail.com! 谢谢啦! 2007-8-17 22:03 0
AkingHK 雪币： 205 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 30 粉丝 0 关注私信	AkingHK 8 楼 NP就是nProtect GameGuard 像什么冒险岛、奇迹等等很多游戏都用它来反外挂~~ 它看见外挂啊、调试器啊，就跟见了杀父仇人似的~~ 所以一般情况，都不太喜欢它。。。 2007-8-19 18:50 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 9 楼这种问题在驱动里来坐可能会简单点比如我是这样搞的：先 PsSetLoadImageNotifyRoutine(Load_Image_Notify_Routine); 然后下面是处理函数 VOID Load_Image_Notify_Routine( IN PUNICODE_STRING FullImageName, IN HANDLE ProcessId, // where image is mapped IN PIMAGE_INFO ImageInfo ) { int nRetCode = FALSE; ULONG EntryPoint = 0; NTSTATUS status = STATUS_UNSUCCESSFUL; KFile File; WCHAR wszFileName[MAX_PATH_LEN], *pwsz = NULL; if (ImageInfo->SystemModeImage) { if (IsAddressValid((ULONG)FullImageName, sizeof(UNICODE_STRING))) { DbgPrint("LoadSystemImgae: %ws\r\n", FullImageName->Buffer); } pwsz = wcsrchr(FullImageName->Buffer, L'\\'); PROCESS_ERROR(pwsz); if (!_wcsnicmp(pwsz, L"\\dump_wmimmc.sys", 16)) { DbgPrint("dump_wmimmc.sys detected.\n"); nRetCode = US2W(FullImageName, wszFileName, MAX_PATH_LEN); PROCESS_ERROR(nRetCode); wcscat(wszFileName, L".dump"); nRetCode = File.OpenFile(FullImageName, GENERIC_READ); PROCESS_ERROR(nRetCode); nRetCode = File.CopyToFile(wszFileName); File.Close(); } } Exit0: return ; } 2007-12-12 15:21 0
menting 雪币： 1667 活跃值： (286) 能力值： ( LV9，RANK：610 ) 在线值：发帖 67 回帖 319 粉丝 4 关注私信	menting 14 10 楼哈哈~~~~这个玩意~~~~拿到有什么用呢~~现在不照样把它干掉，很早就被人黑掉了，现在我也学会了哈哈~~~ 2007-12-12 15:30 0
atylon 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 122 粉丝 0 关注私信	atylon 11 楼 aaaaaaaaaaaaaaaaaaaaa, 我还在去里雾里............................ 2007-12-23 01:28 0
plaodj 雪币： 403 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 52 粉丝 0 关注私信	plaodj 12 楼我倒说的太专业了看不明白 2007-12-24 19:38 0
saskill 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	saskill 13 楼怎么干掉的，请教下啊。我想知道。 2007-12-26 13:06 0
李晓灿雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	李晓灿 14 楼 NP本来是来防病毒的,可是韩国人居然拿来防护游戏外挂~~晕死 2008-1-19 01:27 0
badapi 雪币： 213 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	badapi 15 楼想知道.... 2008-3-7 17:20 0
菜菜小J 雪币： 202 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 92 粉丝 0 关注私信	菜菜小J 16 楼不教教我们，发发资料么？还是堕落天才说的那些原理？ 2008-3-16 01:34 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 17 楼不是从资源释放中可以直接拦截么，现在变了么 2008-3-16 10:41 0
hackor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	hackor 18 楼要这么复杂吗? 使用一些安全软件,或者自己先拦截驱动加载过程. dump_wmimmc.sys不是轻易拿到了吗? 我拿到此文件的NP版本是1121, 此文件没加密, 181,888 字节以下是IDA反汇编代码: INIT:00019C76 push ebp INIT:00019C77 mov ebp, esp INIT:00019C79 sub esp, 38h INIT:00019C7C push ebx INIT:00019C7D push esi INIT:00019C7E push edi INIT:00019C7F push offset SourceString ; "\\Device\\dump_wmimmc" INIT:00019C84 lea eax, [ebp+DestinationString] INIT:00019C87 push eax ; DestinationString INIT:00019C88 call ds:RtlInitUnicodeString INIT:00019C8E push offset aDosdevicesDump ; "\\DosDevices\\dump_wmimmc" INIT:00019C93 lea ecx, [ebp+SymbolicLinkName] INIT:00019C96 push ecx ; DestinationString INIT:00019C97 call ds:RtlInitUnicodeString INIT:00019C9D lea edx, [ebp+DeviceObject] INIT:00019CA0 push edx ; DeviceObject INIT:00019CA1 push 0 ; Exclusive INIT:00019CA3 push 100h ; DeviceCharacteristics INIT:00019CA8 push 8402h ; DeviceType INIT:00019CAD lea eax, [ebp+DestinationString] INIT:00019CB0 push eax ; DeviceName INIT:00019CB1 push 444h ; DeviceExtensionSize INIT:00019CB6 mov ecx, [ebp+DriverObject] INIT:00019CB9 push ecx ; DriverObject INIT:00019CBA call ds:IoCreateDevice INIT:00019CC0 mov [ebp+var_30], eax INIT:00019CC3 cmp [ebp+var_30], 0 INIT:00019CC7 jl short loc_19D12 INIT:00019CC9 lea edx, [ebp+DestinationString] INIT:00019CCC push edx ; DeviceName INIT:00019CCD lea eax, [ebp+SymbolicLinkName] INIT:00019CD0 push eax ; SymbolicLinkName INIT:00019CD1 call ds:IoCreateSymbolicLink INIT:00019CD7 mov [ebp+var_30], eax INIT:00019CDA mov ecx, [ebp+DriverObject] INIT:00019CDD mov dword ptr [ecx+70h], offset sub_16510 INIT:00019CE4 mov edx, [ebp+DriverObject] INIT:00019CE7 mov eax, [ebp+DriverObject] INIT:00019CEA mov ecx, [eax+70h] INIT:00019CED mov [edx+40h], ecx INIT:00019CF0 mov edx, [ebp+DriverObject] INIT:00019CF3 mov eax, [ebp+DriverObject] INIT:00019CF6 mov ecx, [eax+40h] INIT:00019CF9 mov [edx+38h], ecx INIT:00019CFC mov edx, [ebp+DriverObject] INIT:00019CFF mov eax, [ebp+DriverObject] INIT:00019D02 mov ecx, [eax+38h] INIT:00019D05 mov [edx+78h], ecx INIT:00019D08 mov edx, [ebp+DriverObject] INIT:00019D0B mov dword ptr [edx+34h], offset sub_16600 INIT:00019D12 INIT:00019D12 loc_19D12: ; CODE XREF: start+51j INIT:00019D12 cmp [ebp+var_30], 0 INIT:00019D16 jge short loc_19D3A INIT:00019D18 cmp [ebp+DeviceObject], 0 INIT:00019D1C jz short loc_19D28 INIT:00019D1E mov eax, [ebp+DeviceObject] INIT:00019D21 push eax ; DeviceObject INIT:00019D22 call ds:IoDeleteDevice INIT:00019D28 INIT:00019D28 loc_19D28: ; CODE XREF: start+A6j INIT:00019D28 lea ecx, [ebp+SymbolicLinkName] INIT:00019D2B push ecx ; SymbolicLinkName INIT:00019D2C call ds:IoDeleteSymbolicLink INIT:00019D32 mov eax, [ebp+var_30] INIT:00019D35 jmp loc_1A1EA INIT:00019D3A ; --------------------------------------------------------------------------- INIT:00019D3A INIT:00019D3A loc_19D3A: ; CODE XREF: start+A0j INIT:00019D3A push 2000h ; NumberOfBytes INIT:00019D3F call ds:MmAllocateNonCachedMemory INIT:00019D45 mov dword_17B98, eax INIT:00019D4A cmp dword_17B98, 0 INIT:00019D51 jnz short loc_19D5D INIT:00019D53 mov eax, 0C000009Ah INIT:00019D58 jmp loc_1A1EA INIT:00019D5D ; --------------------------------------------------------------------------- INIT:00019D5D INIT:00019D5D loc_19D5D: ; CODE XREF: start+DBj INIT:00019D5D jmp near ptr 3C676h 省略. 声明本人虽然已对此版本的NP进行了逆向分析,但仅出于技术角度,并没去用于木马,外挂.此目的朋友可不要来找我,呵呵 2008-3-19 01:31 0
stanleycao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 0 关注私信	stanleycao 19 楼 NP本来是来防病毒的,可是韩国人居然拿来防护游戏外挂~~晕死 2008-3-22 17:01 0
veninson 雪币： 215 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 102 粉丝 0 关注私信	veninson 20 楼我想知道怎么调用别人的驱动来保护自己的程序。。见过拿ICESWORD驱动隐藏自己程序的 2008-4-11 02:59 0
梅花心易雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	梅花心易 21 楼牛人，强烈膜拜。。。。 2008-4-12 11:19 0
shinetou 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 30 粉丝 0 关注私信	shinetou 22 楼好像经常看到有人出很高的价钱破解NP 2008-4-12 16:26 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 23 楼前些天我在调试时，不小心U盘的资料就被这个给删光了，还好U盘只有512M，不到一分钟就把数据恢复了！这玩意很邪恶，很有意思，值得深究啊 2008-4-18 09:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复