首页
社区
课程
招聘
[讨论]都说nProtect很牛B,但是我这里抓到一只小马,却在ring3下过它..
发表于: 2007-11-5 15:56 18503

[讨论]都说nProtect很牛B,但是我这里抓到一只小马,却在ring3下过它..

2007-11-5 15:56
18503
    看了 坠落天才 的文章,还有其他人讨论nProtect怎么过,甚至还有到驱动

最近刚好抓到一只小马,反汇编看了一下,可以过nProtect,无驱动,真佩服呀..可惜这个小马

是由Delphi写的,俺逆向Delphi的程序就头疼,所以才少少看一点。现在把样本丢上来,让大家一起研究样本..谁逆

向Delphi程序比较厉害的,逆出来,用C或者asm写一个..

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (31)
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
2
在过nProtect之前就被主动防御软件咔掉了....

上传的附件:
2007-11-5 16:36
0
雪    币: 267
活跃值: (1998)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
解压出来后,McAfee就把它咔嚓了
2007-11-5 16:58
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
4


真服了,它本来就是个木马,它过的是nProtect,又没有过杀毒.....主动防御都是SSDT,过了不主动防御是应该的......

汗哦,我发样本,只是要大家研究它怎么过nProtect,在逆向之前,把杀毒关掉嘛..

前几天我全局hook了LoadLirary,然后过滤,npggNT.des就失效了....

但是后来在弄,hook LoadLirary的代码本身就出现问题了,我日了... 原帖地址:http://bbs.pediy.com/showthread.php?t=54359
2007-11-5 17:32
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
5
想必楼主的真正寓意在于..怎样才能写过nP的挂吧
2007-11-5 18:06
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
6
高手果然是高手。。。
2007-11-5 19:12
0
雪    币: 267
活跃值: (1998)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
被识破啦
2007-11-5 19:14
0
雪    币: 3758
活跃值: (3352)
能力值: ( LV15,RANK:500 )
在线值:
发帖
回帖
粉丝
8
Delphi的程序逆起来比C++的相对容易一些, 因为RTL是静态链接的缘故, 加上相对于VC而言, 大多编译优化选项需要写在dpr里面, 工程选项对话框么法选, 导致编译出来的代码在相同的优化开关下可读性十分类似.
2007-11-5 19:19
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
9
且不说我目的是什么,它确实过了np。。。
2007-11-5 19:20
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
10
Delphi的程序逆起来有很多地方看不懂,貌似也会产生很多垃圾的反汇编代码,还是C或者asm逆起来比较爽,和看源码没区别。。
2007-11-5 19:22
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
11
没什么特别,纯粹体力活,建议LZ还是自己逆,把思路搞清楚了自己做。
那种方法,把代码逆出来给你,最多让你用几个月,之后就失效了
2007-11-5 19:32
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
12


还是老老实实自己逆吧....
2007-11-5 20:44
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
13
GetPixel变体
2007-11-5 21:17
0
雪    币: 325
活跃值: (97)
能力值: ( LV13,RANK:530 )
在线值:
发帖
回帖
粉丝
14
我一直坚信Delphi的不过如此.过多的东西都用在了库上.

用C + SDK 最多10Kb.
楼主可以考虑使用RegMon这一类或者 冰点之类的东西.感觉分析木马会比OllyDbg好玩点.

其实我一直在想现在哪个主防没有拦截 NtUserSetWindowsHookEx
不过是否会给rundll.exe 开路灯都不得而知了。
2007-11-5 21:35
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
15
能具体讲述一下"GetPixel变体 "是什么吗?
2007-11-5 22:36
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
16
不明白这位兄弟所言  
2007-11-5 22:46
0
雪    币: 817
活跃值: (1927)
能力值: ( LV12,RANK:2670 )
在线值:
发帖
回帖
粉丝
17
此话不假,论坛上有很多软件商的马甲在活动,说不定在这里代码一放出,技术马上就失效,拥有它还有什么用呢?娱乐吧。。。。
2007-11-5 23:54
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
2007-11-6 00:07
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
19


后悔把样本放出来,留着自己研究多好...
2007-11-6 01:06
0
雪    币: 116
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
不要这样撒..
2007-11-6 11:27
0
雪    币: 224
活跃值: (147)
能力值: ( LV9,RANK:970 )
在线值:
发帖
回帖
粉丝
21
每个人的目的一发帖便知...
2007-11-6 11:45
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
22
ring3做过NP的马有N种方法
2007-11-6 13:08
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
23


这位兄弟给我希望,只要有你这句话,我就有信心继续研究...
2007-11-6 16:36
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
过NP进程保护比较简单.
2007-11-7 22:05
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
25
过NP确实简单,但是能不能读游戏内存,那就难咯
2007-11-8 13:58
0
游客
登录 | 注册 方可回帖
返回
//