能力值:
( LV4,RANK:50 )
|
-
-
2 楼
在驱动里顺着SSDT表,找到CrackMe.sysHOOK的地址,顺着地址的代码向下找把的关键跳nop掉。
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
在SSDT,HOOK地址上
找到CrackMe.sys的HOOK代码,通过代码找到存放HOOK前地址的数据。
读取并恢复
|
能力值:
( LV4,RANK:50 )
|
-
-
4 楼
通过
QSIPTR NtQuerySystemInformation = (QSIPTR)GetProcAddress( hNtDll,
"NtQuerySystemInformation" );
NtQuerySystemInformation( SystemModuleInformation, pRet,
sizeof( SYSMODULELIST ), &nRetSize );
查询到ntoskrnl.exe,或ntkrnlmp.exe或ntkrnlpa.exe的基址
把最原始的NtOpenProcess的偏移从
"ntoskrnl.exe","ntkrnlmp.exe","ntkrnlpa.exe";
(其中一个)
解析出来,然后恢复到SSDT里,后面就可以直接终止进程了
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
|
能力值:
( LV4,RANK:50 )
|
-
-
6 楼
|
能力值:
( LV4,RANK:50 )
|
-
-
7 楼
先用前面的驱动使SSDT可以用再
用WriteProcessMemory向CrackMe无限写垃圾数据
|
能力值:
( LV4,RANK:50 )
|
-
-
8 楼
恢复SSDT,
写CrackMeApp内存
把WM_PAINT的消息入口改为jmp 到关闭程序流程中
|
|
|