首页
社区
课程
招聘
OUT 指令在劲舞的HS中的躲避[已经解决]
发表于: 2007-12-21 08:19 18757

OUT 指令在劲舞的HS中的躲避[已经解决]

2007-12-21 08:19
18757
收藏
免费 0
支持
分享
最新回复 (45)
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
26
喷嚏好像不怎么盈利,赚吆喝。
而且好像喷嚏的开发成本挺高的。又要取色又模拟按键。
2007-12-26 23:35
0
雪    币: 193
活跃值: (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
27
我的是免费挂 全是一腔热血


1200左右吧,吃半年有点太忽悠了,现在学生一月600算少的了


有钱人 在我们河南 一个月300左右才正常
2007-12-27 00:47
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
28
你就休息两天。给AU一点时间去对付刷分吧.不然总是盯着你不放。
2007-12-27 01:06
0
雪    币: 193
活跃值: (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
29
恩 哎!!!本来刚把连P  和刷分  还有快速连P刚研究出来 还没放出去 按键却被封了
应该是17号函数封了 分析了以下17号函数 还未发现参数和结尾的关系
2007-12-27 01:54
0
雪    币: 223
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
30
食堂里吃个咸菜都要2块钱,300块钱喝粥都不够,再加上物价飞涨,食堂又涨价了。。。
2007-12-27 11:04
0
雪    币: 193
活跃值: (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
31
贴个最新版的HS的驱动  有空大家分析一下  交流一下心得吧
上传的附件:
2007-12-27 23:36
0
雪    币: 108
活跃值: (141)
能力值: ( LV9,RANK:490 )
在线值:
发帖
回帖
粉丝
32
没有仔细看过HS的驱动,看表现应该是挂了int3,然后修改了DR7里面的标志.详细的去翻Intel手册吧.如果HS不是不断地修改的话,把DR7里面的东西改回来就行了.
2007-12-28 16:35
0
雪    币: 193
活跃值: (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
33
已经解决这个问题!哎!!
本来想公布研究结果!可惜看了回复心寒啊  除了有两位热心帮助的回复  其他的都是....
不是冲VMP来  就是说VMP不行,要求别人不要帮我解决的贴  无语中^^^^^
2007-12-29 01:13
0
雪    币: 193
活跃值: (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
34
算了 还是公布吧!
调试劲舞驱动发现
启动劲舞驱动后 当时DR7为1,开启了读写断点,DR2就为0x60
也就是说HackShield在0x60号端口上下了IO硬件断点

所以当模拟数据 写0x60端口时会被断下来  被HackShield 拦截到
所以 只要
修改 int 1 & int3号中断的处理例程 就可以躲避外挂系统的检测
2007-12-29 02:21
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
35
好好学习天天向上.
要是Hs检测修改。又该怎么办?
2007-12-29 02:59
0
雪    币: 193
活跃值: (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
36
绑定CPU 按CPU任务队列来 写60端口前改掉 写完后恢复 这样就算是多核的CPU也不可能有两个任务同时对某数据进行检测
绑定到指定CPU
KeSetTargetProcessorDpc
插入DPC队列
KeInsertQueueDpc
然后等待,特定的任务完成

InterlockedIncrement实现安全计数
KeNumberProcessors获得核心数

KeGetCurrentProcessorNumber当前CPU
2007-12-29 16:36
0
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
37
楼主很热心,我很支持你,也很崇拜你,加油吧!

我在研究san11的免cd,要是楼主有时间可以共享下
2007-12-30 15:42
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
38
蜗牛壳应该能防御这种方式。可惜撤掉了。不然还能试验一下。
2007-12-31 20:41
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
39
楼主太假了。明明就是商业外挂。哎~
2008-1-6 01:16
0
雪    币: 214
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
40
上网了吧,上当了吧,受骗了吧
2008-1-6 02:51
0
雪    币: 200
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
41
vm...1.6
2008-1-7 14:08
0
雪    币: 193
活跃值: (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
42

楼主太假了。明明就是商业外挂。哎~


哪一个版本有收费过?
2008-1-11 11:17
0
雪    币: 214
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
43
外挂地址发来看看
2008-1-11 13:38
0
雪    币: 331
活跃值: (56)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
44
有个内部版吧。不然怎么愿意花钱买正版VM?
不讨论是否收费问题。
道高一尺,魔高一丈。
期待喷嚏和HS的下一次较量。
2008-1-12 03:43
0
雪    币: 193
活跃值: (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
45
论坛内部版是给论坛高级会员用的 也是免费的 呵呵

我不希望下次较量了  会死人的
2008-1-12 23:22
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
46
牛壳
超强加壳工具!,用过的都说强!
以下为转载:

  在这个UPX壳,ASP壳纷飞的加壳时代,这种大众化的壳在杀毒软件的眼睛下就是一层包不住火的纸,咋杀咋被杀。它们就像雅典娜的五小强穿的青铜圣衣,动不动就粉碎。这时,一款牛B极顶的加壳器照亮了我的眼睛,它就是Fake Ninjia(超级加花器),用它可以为你的马儿穿上坚不可摧的神圣衣,抬起头来做马!

将程序下载下来后打开,可以看到Fake Ninjia的界面(如图1),小巧简单。点击最上面的“START GAME”按钮,选择要加壳的木马文件。选择好后,程序界面最下方会显示木马文件名,看到那个下拉列表了吗?打开一看,好家伙,这么多壳,而且大部分的壳听都没有听说过!清一色的猛壳啊。(如图2)不过注意一下,在加壳的类型列表中居然还有
Microsoft Visual C++!(如图3)这是怎么回事呢?举个例子,你先用UPX将一个马儿加上壳,再使用Fake Ninjia加上一个Microsoft Visual C++的壳,那么在PEID中打开这个马后显示的就是没有加壳哦(如图4)。

小提示:程序是用在木马文件中加入花指令的方法,从而达到伪装壳的信息的。在Fake Ninjia面前,PEID一类的查壳工具完全是个被糊弄的小孩,杀毒软件也在经过伪装的木马面前无法判断。

将壳的类型选择好后,看看右下角的“Debugger Detection”和“Make backup”有没有勾选上(如图5),选上这两项就可以备份木马防止加壳损坏和确保木马最大程度的加壳成功率。最后单击“START GAME”按钮下的“FATALITY”按钮开始加壳,同时在按钮下面的信息框里会显示加壳成功还是失败(如图6)。

小提示:成功会在信息框里显示“Operations complete!”失败则显示“Operations not complete!”

加壳完毕后,我们的木马就可以大摇大摆的发送给别人啦,最好捆绑一下,别让人家起疑心哦。任他使尽十八般兵器也看不出个端倪来,最后便放心的打开我们的“神马”啦!

这款牛软还可以完美的保护共享软件不被破解,给共享软件加上几个猛壳,看他怎么脱!如果最后补上个Microsoft Visual C++的壳
2008-1-16 12:26
0
游客
登录 | 注册 方可回帖
返回
//