[讨论]都说nProtect很牛B，但是我这里抓到一只小马，却在ring3下过它．．-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]都说nProtect很牛B，但是我这里抓到一只小马，却在ring3下过它．．

发表于: 2007-11-5 15:56 18475

[讨论]都说nProtect很牛B，但是我这里抓到一只小马，却在ring3下过它．．

Winker

2007-11-5 15:56

18475

　　　　看了　坠落天才　的文章，还有其他人讨论nProtect怎么过，甚至还有到驱动

最近刚好抓到一只小马，反汇编看了一下，可以过nProtect，无驱动，真佩服呀．．可惜这个小马

是由Delphi写的，俺逆向Delphi的程序就头疼，所以才少少看一点。现在把样本丢上来，让大家一起研究样本．．谁逆

向Delphi程序比较厉害的，逆出来，用Ｃ或者asm写一个．．

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

样本.rar （22.31kb，159次下载）

收藏・1

免费・0

支持

最新回复 (31) 1 2 ▶
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼在过nProtect之前就被主动防御软件咔掉了.... 上传的附件： Snap1.gif （12.59kb，1056次下载） 2007-11-5 16:36 0
12321 雪币： 267 活跃值： (1908) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	12321 3 楼解压出来后,McAfee就把它咔嚓了 2007-11-5 16:58 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 4 楼真服了,它本来就是个木马,它过的是nProtect,又没有过杀毒.....主动防御都是SSDT,过了不主动防御是应该的...... 汗哦,我发样本,只是要大家研究它怎么过nProtect,在逆向之前,把杀毒关掉嘛.. 前几天我全局hook了LoadLirary,然后过滤,npggNT.des就失效了.... 但是后来在弄,hook LoadLirary的代码本身就出现问题了,我日了... 原帖地址:http://bbs.pediy.com/showthread.php?t=54359 2007-11-5 17:32 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 5 楼想必楼主的真正寓意在于..怎样才能写过nP的挂吧 2007-11-5 18:06 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 6 楼高手果然是高手。。。 2007-11-5 19:12 0
12321 雪币： 267 活跃值： (1908) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	12321 7 楼被识破啦 2007-11-5 19:14 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 8 楼 Delphi的程序逆起来比C++的相对容易一些, 因为RTL是静态链接的缘故, 加上相对于VC而言, 大多编译优化选项需要写在dpr里面, 工程选项对话框么法选, 导致编译出来的代码在相同的优化开关下可读性十分类似. 2007-11-5 19:19 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 9 楼且不说我目的是什么，它确实过了np。。。 2007-11-5 19:20 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 10 楼 Delphi的程序逆起来有很多地方看不懂，貌似也会产生很多垃圾的反汇编代码，还是C或者asm逆起来比较爽，和看源码没区别。。 2007-11-5 19:22 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 11 楼没什么特别，纯粹体力活，建议LZ还是自己逆，把思路搞清楚了自己做。那种方法，把代码逆出来给你，最多让你用几个月，之后就失效了 2007-11-5 19:32 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 12 楼还是老老实实自己逆吧．．．． 2007-11-5 20:44 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 13 楼 GetPixel变体 2007-11-5 21:17 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 14 楼我一直坚信Delphi的不过如此.过多的东西都用在了库上. 用C + SDK 最多10Kb. 楼主可以考虑使用RegMon这一类或者冰点之类的东西.感觉分析木马会比OllyDbg好玩点. 其实我一直在想现在哪个主防没有拦截 NtUserSetWindowsHookEx 不过是否会给rundll.exe 开路灯都不得而知了。 2007-11-5 21:35 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 15 楼能具体讲述一下＂GetPixel变体＂是什么吗？ 2007-11-5 22:36 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 16 楼不明白这位兄弟所言　　 2007-11-5 22:46 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 17 楼此话不假，论坛上有很多软件商的马甲在活动，说不定在这里代码一放出，技术马上就失效，拥有它还有什么用呢？娱乐吧。。。。 2007-11-5 23:54 0
神滴眷恋雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	神滴眷恋 18 楼 2007-11-6 00:07 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 19 楼后悔把样本放出来，留着自己研究多好．．． 2007-11-6 01:06 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 20 楼不要这样撒.. 2007-11-6 11:27 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 21 楼每个人的目的一发帖便知... 2007-11-6 11:45 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 22 楼 ring3做过NP的马有N种方法 2007-11-6 13:08 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 23 楼这位兄弟给我希望，只要有你这句话，我就有信心继续研究．．． 2007-11-6 16:36 0
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 24 楼过NP进程保护比较简单. 2007-11-7 22:05 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 25 楼过ＮＰ确实简单，但是能不能读游戏内存，那就难咯 2007-11-8 13:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Winker

133

发帖

1127

回帖

380

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (31) 1 2 ▶
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼在过nProtect之前就被主动防御软件咔掉了.... 上传的附件： Snap1.gif （12.59kb，1056次下载） 2007-11-5 16:36 0
12321 雪币： 267 活跃值： (1908) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	12321 3 楼解压出来后,McAfee就把它咔嚓了 2007-11-5 16:58 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 4 楼真服了,它本来就是个木马,它过的是nProtect,又没有过杀毒.....主动防御都是SSDT,过了不主动防御是应该的...... 汗哦,我发样本,只是要大家研究它怎么过nProtect,在逆向之前,把杀毒关掉嘛.. 前几天我全局hook了LoadLirary,然后过滤,npggNT.des就失效了.... 但是后来在弄,hook LoadLirary的代码本身就出现问题了,我日了... 原帖地址:http://bbs.pediy.com/showthread.php?t=54359 2007-11-5 17:32 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 5 楼想必楼主的真正寓意在于..怎样才能写过nP的挂吧 2007-11-5 18:06 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 6 楼高手果然是高手。。。 2007-11-5 19:12 0
12321 雪币： 267 活跃值： (1908) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 0 关注私信	12321 7 楼被识破啦 2007-11-5 19:14 0
曾半仙雪币： 3758 活跃值： (3337) 能力值： ( LV15，RANK：500 ) 在线值：发帖 19 回帖 491 粉丝 84 关注私信	曾半仙 12 8 楼 Delphi的程序逆起来比C++的相对容易一些, 因为RTL是静态链接的缘故, 加上相对于VC而言, 大多编译优化选项需要写在dpr里面, 工程选项对话框么法选, 导致编译出来的代码在相同的优化开关下可读性十分类似. 2007-11-5 19:19 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 9 楼且不说我目的是什么，它确实过了np。。。 2007-11-5 19:20 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 10 楼 Delphi的程序逆起来有很多地方看不懂，貌似也会产生很多垃圾的反汇编代码，还是C或者asm逆起来比较爽，和看源码没区别。。 2007-11-5 19:22 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 11 楼没什么特别，纯粹体力活，建议LZ还是自己逆，把思路搞清楚了自己做。那种方法，把代码逆出来给你，最多让你用几个月，之后就失效了 2007-11-5 19:32 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 12 楼还是老老实实自己逆吧．．．． 2007-11-5 20:44 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 13 楼 GetPixel变体 2007-11-5 21:17 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 14 楼我一直坚信Delphi的不过如此.过多的东西都用在了库上. 用C + SDK 最多10Kb. 楼主可以考虑使用RegMon这一类或者冰点之类的东西.感觉分析木马会比OllyDbg好玩点. 其实我一直在想现在哪个主防没有拦截 NtUserSetWindowsHookEx 不过是否会给rundll.exe 开路灯都不得而知了。 2007-11-5 21:35 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 15 楼能具体讲述一下＂GetPixel变体＂是什么吗？ 2007-11-5 22:36 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 16 楼不明白这位兄弟所言　　 2007-11-5 22:46 0
KuNgBiM 雪币： 817 活跃值： (1927) 能力值： ( LV12，RANK：2670 ) 在线值：发帖 500 回帖 2517 粉丝 22 关注私信	KuNgBiM 66 17 楼此话不假，论坛上有很多软件商的马甲在活动，说不定在这里代码一放出，技术马上就失效，拥有它还有什么用呢？娱乐吧。。。。 2007-11-5 23:54 0
神滴眷恋雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	神滴眷恋 18 楼 2007-11-6 00:07 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 19 楼后悔把样本放出来，留着自己研究多好．．． 2007-11-6 01:06 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 20 楼不要这样撒.. 2007-11-6 11:27 0
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 21 楼每个人的目的一发帖便知... 2007-11-6 11:45 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 22 楼 ring3做过NP的马有N种方法 2007-11-6 13:08 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 23 楼这位兄弟给我希望，只要有你这句话，我就有信心继续研究．．． 2007-11-6 16:36 0
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 24 楼过NP进程保护比较简单. 2007-11-7 22:05 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 25 楼过ＮＰ确实简单，但是能不能读游戏内存，那就难咯 2007-11-8 13:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复