OUT 指令在劲舞的HS中的躲避[已经解决]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

OUT 指令在劲舞的HS中的躲避[已经解决]

2007-12-21 08:19 18342

OUT 指令在劲舞的HS中的躲避[已经解决]

bujin888

2007-12-21 08:19

18342

查看主题内容

收藏・9

点赞・0

打赏

最新回复 (45) ◀ 1 2
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2007-12-26 23:35 26 楼 0 喷嚏好像不怎么盈利，赚吆喝。而且好像喷嚏的开发成本挺高的。又要取色又模拟按键。
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2007-12-27 00:47 27 楼 0 我的是免费挂全是一腔热血 1200左右吧，吃半年有点太忽悠了，现在学生一月600算少的了有钱人在我们河南一个月300左右才正常
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2007-12-27 01:06 28 楼 0 你就休息两天。给AU一点时间去对付刷分吧.不然总是盯着你不放。
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2007-12-27 01:54 29 楼 0 恩　哎！！！本来刚把连Ｐ　　和刷分　　还有快速连Ｐ刚研究出来　还没放出去　按键却被封了应该是１７号函数封了　分析了以下１７号函数　还未发现参数和结尾的关系
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 583 粉丝 0 关注私信	aki 2 2007-12-27 11:04 30 楼 0 食堂里吃个咸菜都要2块钱，300块钱喝粥都不够，再加上物价飞涨，食堂又涨价了。。。
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2007-12-27 23:36 31 楼 0 贴个最新版的HS的驱动有空大家分析一下交流一下心得吧上传的附件： EagleNt.rar （347.19kb，93次下载）
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 2007-12-28 16:35 32 楼 0 没有仔细看过HS的驱动，看表现应该是挂了int3,然后修改了DR7里面的标志.详细的去翻Intel手册吧.如果HS不是不断地修改的话,把DR7里面的东西改回来就行了.
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2007-12-29 01:13 33 楼 0 已经解决这个问题!哎!! 本来想公布研究结果!可惜看了回复心寒啊除了有两位热心帮助的回复其他的都是.... 不是冲VMP来就是说VMP不行,要求别人不要帮我解决的贴无语中^^^^^
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2007-12-29 02:21 34 楼 0 算了　还是公布吧！调试劲舞驱动发现启动劲舞驱动后　当时DR7为1,开启了读写断点，DR2就为0x60 也就是说HackShield在0x60号端口上下了IO硬件断点所以当模拟数据　写0x60端口时会被断下来　　被HackShield　拦截到所以　只要修改　int 1 & int3号中断的处理例程　就可以躲避外挂系统的检测
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2007-12-29 02:59 35 楼 0 好好学习天天向上. 要是Hs检测修改。又该怎么办？
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2007-12-29 16:36 36 楼 0 绑定CPU 按CPU任务队列来写60端口前改掉写完后恢复这样就算是多核的CPU也不可能有两个任务同时对某数据进行检测绑定到指定CPU KeSetTargetProcessorDpc 插入DPC队列 KeInsertQueueDpc 然后等待,特定的任务完成 InterlockedIncrement实现安全计数 KeNumberProcessors获得核心数 KeGetCurrentProcessorNumber当前CPU
liunight 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	liunight 2007-12-30 15:42 37 楼 0 楼主很热心，我很支持你，也很崇拜你，加油吧！我在研究san11的免cd，要是楼主有时间可以共享下
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2007-12-31 20:41 38 楼 0 蜗牛壳应该能防御这种方式。可惜撤掉了。不然还能试验一下。
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2008-1-6 01:16 39 楼 0 楼主太假了。明明就是商业外挂。哎~
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 2008-1-6 02:51 40 楼 0 上网了吧,上当了吧,受骗了吧
lean 雪币： 200 能力值： (RANK：10 ) 在线值：发帖 5 回帖 21 粉丝 0 关注私信	lean 2008-1-7 14:08 41 楼 0 vm...1.6
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2008-1-11 11:17 42 楼 0 楼主太假了。明明就是商业外挂。哎~ 哪一个版本有收费过？
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 2008-1-11 13:38 43 楼 0 外挂地址发来看看
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2008-1-12 03:43 44 楼 0 有个内部版吧。不然怎么愿意花钱买正版VM? 不讨论是否收费问题。道高一尺，魔高一丈。期待喷嚏和HS的下一次较量。
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2008-1-12 23:22 45 楼 0 论坛内部版是给论坛高级会员用的也是免费的呵呵我不希望下次较量了会死人的
huazhong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	huazhong 2008-1-16 12:26 46 楼 0 牛壳超强加壳工具!,用过的都说强! 以下为转载: 在这个UPX壳，ASP壳纷飞的加壳时代，这种大众化的壳在杀毒软件的眼睛下就是一层包不住火的纸，咋杀咋被杀。它们就像雅典娜的五小强穿的青铜圣衣，动不动就粉碎。这时，一款牛B极顶的加壳器照亮了我的眼睛，它就是Fake Ninjia(超级加花器)，用它可以为你的马儿穿上坚不可摧的神圣衣，抬起头来做马！将程序下载下来后打开，可以看到Fake Ninjia的界面(如图1)，小巧简单。点击最上面的“START GAME”按钮，选择要加壳的木马文件。选择好后，程序界面最下方会显示木马文件名，看到那个下拉列表了吗？打开一看，好家伙，这么多壳，而且大部分的壳听都没有听说过！清一色的猛壳啊。(如图2)不过注意一下，在加壳的类型列表中居然还有 Microsoft Visual C++！(如图3)这是怎么回事呢？举个例子，你先用UPX将一个马儿加上壳，再使用Fake Ninjia加上一个Microsoft Visual C++的壳，那么在PEID中打开这个马后显示的就是没有加壳哦(如图4)。小提示：程序是用在木马文件中加入花指令的方法，从而达到伪装壳的信息的。在Fake Ninjia面前，PEID一类的查壳工具完全是个被糊弄的小孩，杀毒软件也在经过伪装的木马面前无法判断。将壳的类型选择好后，看看右下角的“Debugger Detection”和“Make backup”有没有勾选上(如图5)，选上这两项就可以备份木马防止加壳损坏和确保木马最大程度的加壳成功率。最后单击“START GAME”按钮下的“FATALITY”按钮开始加壳，同时在按钮下面的信息框里会显示加壳成功还是失败(如图6)。小提示：成功会在信息框里显示“Operations complete!”失败则显示“Operations not complete!” 加壳完毕后，我们的木马就可以大摇大摆的发送给别人啦，最好捆绑一下，别让人家起疑心哦。任他使尽十八般兵器也看不出个端倪来，最后便放心的打开我们的“神马”啦！这款牛软还可以完美的保护共享软件不被破解，给共享软件加上几个猛壳，看他怎么脱！如果最后补上个Microsoft Visual C++的壳
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

bujin888

发帖

365

回帖

210

RANK

关注

私信

他的文章

[求助]int 2E 和 sysenter在 win7 x64 的 32位程序内能正常执行吗？

[求助]关于dbghelp中StackWalk64用法！

[讨论]现在中国社会的黑客精神

[注意]Win8中另类链表检测 DLL

[delphi版]ring3层SetThreadContext方式插入DLL

关于我们

联系我们

企业服务

看雪公众号

最新回复 (45) ◀ 1 2
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2007-12-26 23:35 26 楼 0 喷嚏好像不怎么盈利，赚吆喝。而且好像喷嚏的开发成本挺高的。又要取色又模拟按键。
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2007-12-27 00:47 27 楼 0 我的是免费挂全是一腔热血 1200左右吧，吃半年有点太忽悠了，现在学生一月600算少的了有钱人在我们河南一个月300左右才正常
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2007-12-27 01:06 28 楼 0 你就休息两天。给AU一点时间去对付刷分吧.不然总是盯着你不放。
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2007-12-27 01:54 29 楼 0 恩　哎！！！本来刚把连Ｐ　　和刷分　　还有快速连Ｐ刚研究出来　还没放出去　按键却被封了应该是１７号函数封了　分析了以下１７号函数　还未发现参数和结尾的关系
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 583 粉丝 0 关注私信	aki 2 2007-12-27 11:04 30 楼 0 食堂里吃个咸菜都要2块钱，300块钱喝粥都不够，再加上物价飞涨，食堂又涨价了。。。
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2007-12-27 23:36 31 楼 0 贴个最新版的HS的驱动有空大家分析一下交流一下心得吧上传的附件： EagleNt.rar （347.19kb，93次下载）
NetRoc 雪币： 108 活跃值： (141) 能力值： ( LV9，RANK：490 ) 在线值：发帖 17 回帖 108 粉丝 14 关注私信	NetRoc 12 2007-12-28 16:35 32 楼 0 没有仔细看过HS的驱动，看表现应该是挂了int3,然后修改了DR7里面的标志.详细的去翻Intel手册吧.如果HS不是不断地修改的话,把DR7里面的东西改回来就行了.
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2007-12-29 01:13 33 楼 0 已经解决这个问题!哎!! 本来想公布研究结果!可惜看了回复心寒啊除了有两位热心帮助的回复其他的都是.... 不是冲VMP来就是说VMP不行,要求别人不要帮我解决的贴无语中^^^^^
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2007-12-29 02:21 34 楼 0 算了　还是公布吧！调试劲舞驱动发现启动劲舞驱动后　当时DR7为1,开启了读写断点，DR2就为0x60 也就是说HackShield在0x60号端口上下了IO硬件断点所以当模拟数据　写0x60端口时会被断下来　　被HackShield　拦截到所以　只要修改　int 1 & int3号中断的处理例程　就可以躲避外挂系统的检测
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2007-12-29 02:59 35 楼 0 好好学习天天向上. 要是Hs检测修改。又该怎么办？
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2007-12-29 16:36 36 楼 0 绑定CPU 按CPU任务队列来写60端口前改掉写完后恢复这样就算是多核的CPU也不可能有两个任务同时对某数据进行检测绑定到指定CPU KeSetTargetProcessorDpc 插入DPC队列 KeInsertQueueDpc 然后等待,特定的任务完成 InterlockedIncrement实现安全计数 KeNumberProcessors获得核心数 KeGetCurrentProcessorNumber当前CPU
liunight 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	liunight 2007-12-30 15:42 37 楼 0 楼主很热心，我很支持你，也很崇拜你，加油吧！我在研究san11的免cd，要是楼主有时间可以共享下
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2007-12-31 20:41 38 楼 0 蜗牛壳应该能防御这种方式。可惜撤掉了。不然还能试验一下。
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2008-1-6 01:16 39 楼 0 楼主太假了。明明就是商业外挂。哎~
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 2008-1-6 02:51 40 楼 0 上网了吧,上当了吧,受骗了吧
lean 雪币： 200 能力值： (RANK：10 ) 在线值：发帖 5 回帖 21 粉丝 0 关注私信	lean 2008-1-7 14:08 41 楼 0 vm...1.6
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2008-1-11 11:17 42 楼 0 楼主太假了。明明就是商业外挂。哎~ 哪一个版本有收费过？
girl 雪币： 214 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 289 粉丝 0 关注私信	girl 1 2008-1-11 13:38 43 楼 0 外挂地址发来看看
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2008-1-12 03:43 44 楼 0 有个内部版吧。不然怎么愿意花钱买正版VM? 不讨论是否收费问题。道高一尺，魔高一丈。期待喷嚏和HS的下一次较量。
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 72 回帖 365 粉丝 3 关注私信	bujin888 4 2008-1-12 23:22 45 楼 0 论坛内部版是给论坛高级会员用的也是免费的呵呵我不希望下次较量了会死人的
huazhong 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	huazhong 2008-1-16 12:26 46 楼 0 牛壳超强加壳工具!,用过的都说强! 以下为转载: 在这个UPX壳，ASP壳纷飞的加壳时代，这种大众化的壳在杀毒软件的眼睛下就是一层包不住火的纸，咋杀咋被杀。它们就像雅典娜的五小强穿的青铜圣衣，动不动就粉碎。这时，一款牛B极顶的加壳器照亮了我的眼睛，它就是Fake Ninjia(超级加花器)，用它可以为你的马儿穿上坚不可摧的神圣衣，抬起头来做马！将程序下载下来后打开，可以看到Fake Ninjia的界面(如图1)，小巧简单。点击最上面的“START GAME”按钮，选择要加壳的木马文件。选择好后，程序界面最下方会显示木马文件名，看到那个下拉列表了吗？打开一看，好家伙，这么多壳，而且大部分的壳听都没有听说过！清一色的猛壳啊。(如图2)不过注意一下，在加壳的类型列表中居然还有 Microsoft Visual C++！(如图3)这是怎么回事呢？举个例子，你先用UPX将一个马儿加上壳，再使用Fake Ninjia加上一个Microsoft Visual C++的壳，那么在PEID中打开这个马后显示的就是没有加壳哦(如图4)。小提示：程序是用在木马文件中加入花指令的方法，从而达到伪装壳的信息的。在Fake Ninjia面前，PEID一类的查壳工具完全是个被糊弄的小孩，杀毒软件也在经过伪装的木马面前无法判断。将壳的类型选择好后，看看右下角的“Debugger Detection”和“Make backup”有没有勾选上(如图5)，选上这两项就可以备份木马防止加壳损坏和确保木马最大程度的加壳成功率。最后单击“START GAME”按钮下的“FATALITY”按钮开始加壳，同时在按钮下面的信息框里会显示加壳成功还是失败(如图6)。小提示：成功会在信息框里显示“Operations complete!”失败则显示“Operations not complete!” 加壳完毕后，我们的木马就可以大摇大摆的发送给别人啦，最好捆绑一下，别让人家起疑心哦。任他使尽十八般兵器也看不出个端倪来，最后便放心的打开我们的“神马”啦！这款牛软还可以完美的保护共享软件不被破解，给共享软件加上几个猛壳，看他怎么脱！如果最后补上个Microsoft Visual C++的壳
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复