[原创]第二阶段第二题答案提交-1)珠海金山2007逆向分析挑战赛-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 2 楼在驱动里顺着SSDT表，找到CrackMe.sysHOOK的地址，顺着地址的代码向下找把的关键跳nop掉。上传的附件： 2.rar （36.88kb，9次下载） 2007-9-2 10:13 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 3 楼在SSDT,HOOK地址上找到CrackMe.sys的HOOK代码，通过代码找到存放HOOK前地址的数据。读取并恢复上传的附件： 3.rar （35.73kb，8次下载） 2007-9-2 10:18 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 4 楼通过 QSIPTR NtQuerySystemInformation = (QSIPTR)GetProcAddress( hNtDll, "NtQuerySystemInformation" ); NtQuerySystemInformation( SystemModuleInformation, pRet, sizeof( SYSMODULELIST ), &nRetSize ); 查询到ntoskrnl.exe,或ntkrnlmp.exe或ntkrnlpa.exe的基址把最原始的NtOpenProcess的偏移从 "ntoskrnl.exe","ntkrnlmp.exe","ntkrnlpa.exe"; （其中一个）解析出来,然后恢复到SSDT里，后面就可以直接终止进程了上传的附件： 4.rar （40.94kb，12次下载） 2007-9-2 10:24 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 5 楼模拟鼠标点击上传的附件： KeyKill.rar （152.31kb，7次下载） 2007-9-2 10:30 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 6 楼模拟键盘按键上传的附件： KeyBoardKill.rar （33.44kb，8次下载） 2007-9-2 10:44 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 7 楼先用前面的驱动使SSDT可以用再用WriteProcessMemory向CrackMe无限写垃圾数据上传的附件： modifyU.rar （62.63kb，7次下载） 2007-9-2 11:18 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 8 楼恢复SSDT，写CrackMeApp内存把WM＿PAINT的消息入口改为jmp 到关闭程序流程中上传的附件： Hook.rar （35.09kb，8次下载） 2007-9-2 11:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 2 楼在驱动里顺着SSDT表，找到CrackMe.sysHOOK的地址，顺着地址的代码向下找把的关键跳nop掉。上传的附件： 2.rar （36.88kb，9次下载） 2007-9-2 10:13 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 3 楼在SSDT,HOOK地址上找到CrackMe.sys的HOOK代码，通过代码找到存放HOOK前地址的数据。读取并恢复上传的附件： 3.rar （35.73kb，8次下载） 2007-9-2 10:18 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 4 楼通过 QSIPTR NtQuerySystemInformation = (QSIPTR)GetProcAddress( hNtDll, "NtQuerySystemInformation" ); NtQuerySystemInformation( SystemModuleInformation, pRet, sizeof( SYSMODULELIST ), &nRetSize ); 查询到ntoskrnl.exe,或ntkrnlmp.exe或ntkrnlpa.exe的基址把最原始的NtOpenProcess的偏移从 "ntoskrnl.exe","ntkrnlmp.exe","ntkrnlpa.exe"; （其中一个）解析出来,然后恢复到SSDT里，后面就可以直接终止进程了上传的附件： 4.rar （40.94kb，12次下载） 2007-9-2 10:24 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 5 楼模拟鼠标点击上传的附件： KeyKill.rar （152.31kb，7次下载） 2007-9-2 10:30 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 6 楼模拟键盘按键上传的附件： KeyBoardKill.rar （33.44kb，8次下载） 2007-9-2 10:44 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 7 楼先用前面的驱动使SSDT可以用再用WriteProcessMemory向CrackMe无限写垃圾数据上传的附件： modifyU.rar （62.63kb，7次下载） 2007-9-2 11:18 0
likunkun 雪币： 334 活跃值： (22) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 283 粉丝 1 关注私信	likunkun 1 8 楼恢复SSDT，写CrackMeApp内存把WM＿PAINT的消息入口改为jmp 到关闭程序流程中上传的附件： Hook.rar （35.09kb，8次下载） 2007-9-2 11:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复