[分享]NP的hook检测工具,-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 2 楼 1059版本的NP与该工具不兼容。 2008-2-18 12:53 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 3 楼改造一下可以用。写个工具禁止R3邪恶模块注入检测工具进程。驱动层需要稍微做点改动。 2008-2-18 12:57 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 4 楼只能检测SSDT钩子，对于NP的inlinehook无法检测出来。 2008-2-18 12:59 0
speeches 雪币： 141 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 146 回帖 301 粉丝 2 关注私信	speeches 5 楼别人的，不是我造的，还没这功力 2008-2-18 16:25 0
poppig 雪币： 193 活跃值： (1379) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 157 粉丝 1 关注私信	poppig 2 6 楼 >Hooks ntfs.sys-->ntkrnlpa.exe-->IoCreateDevice, Type: IAT modification at address 0xF2670C8C hook handler located in [unknown_code_page] ntkrnlpa.exe+0x00020174, Type: Inline - RelativeJump at address 0x804F8174 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe+0x00020438, Type: Inline - RelativeJump at address 0x804F8438 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->FsRtlCheckLockForReadAccess, Type: Inline - RelativeJump at address 0x804EAE14 hook handler located in [klif.sys] ntkrnlpa.exe-->IoCreateDevice, Type: EAT modification at address 0x80663770 hook handler located in [unknown_code_page] ntkrnlpa.exe-->IoIsOperationSynchronous, Type: Inline - RelativeJump at address 0x804EF54E hook handler located in [klif.sys] ntkrnlpa.exe-->KeAttachProcess, Type: Inline - RelativeJump at address 0x804F853C hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->KeStackAttachProcess, Type: Inline - RelativeJump at address 0x804F8638 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->NtDeviceIoControlFile, Type: Inline - RelativeJump at address 0x8056E2FC hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->NtOpenProcess, Type: Inline - RelativeJump at address 0x805C0B56 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->NtOpenSection, Type: Inline - RelativeJump at address 0x8059F258 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->NtProtectVirtualMemory, Type: Inline - RelativeJump at address 0x805AD4C6 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->NtReadVirtualMemory, Type: Inline - RelativeJump at address 0x805A91D0 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->NtWriteFile, Type: Inline - RelativeJump at address 0x805720A0 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->NtWriteVirtualMemory, Type: Inline - RelativeJump at address 0x805A92DA hook handler located in [dump_wmimmc.sys] 2008-2-18 17:15 0
luolinlove 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	luolinlove 7 楼看不懂，还是去看看初级教程。 2008-2-19 00:18 0
灵火雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	灵火 8 楼看不懂，还是去看看初级教程。 2008-2-20 14:13 0
xihuanxue 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	xihuanxue 9 楼 driverdevelop注册不上谁上传个上来谢谢 2008-2-22 17:39 0
NINEIN 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	NINEIN 10 楼那块有不初级教程呀。没找到呀。能给个链接吗 2008-2-22 22:55 0
linhanshi 雪币： 97697 活跃值： (200759) 能力值： (RANK：10 ) 在线值：发帖 9246 回帖 27942 粉丝 451 关注私信	linhanshi 11 楼 Down it. 上传的附件： RkU3.7.300.503.zip （154.22kb，366次下载） 2008-2-23 01:26 0
anthor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	anthor 12 楼请问下NP坚定到我的UCE(undetected cheat engine).. 怎样找出哪个字串被坚定到呢?? 2008-2-24 01:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 2 楼 1059版本的NP与该工具不兼容。 2008-2-18 12:53 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 3 楼改造一下可以用。写个工具禁止R3邪恶模块注入检测工具进程。驱动层需要稍微做点改动。 2008-2-18 12:57 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 4 楼只能检测SSDT钩子，对于NP的inlinehook无法检测出来。 2008-2-18 12:59 0
speeches 雪币： 141 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 146 回帖 301 粉丝 2 关注私信	speeches 5 楼别人的，不是我造的，还没这功力 2008-2-18 16:25 0
poppig 雪币： 193 活跃值： (1379) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 157 粉丝 1 关注私信	poppig 2 6 楼 >Hooks ntfs.sys-->ntkrnlpa.exe-->IoCreateDevice, Type: IAT modification at address 0xF2670C8C hook handler located in [unknown_code_page] ntkrnlpa.exe+0x00020174, Type: Inline - RelativeJump at address 0x804F8174 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe+0x00020438, Type: Inline - RelativeJump at address 0x804F8438 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->FsRtlCheckLockForReadAccess, Type: Inline - RelativeJump at address 0x804EAE14 hook handler located in [klif.sys] ntkrnlpa.exe-->IoCreateDevice, Type: EAT modification at address 0x80663770 hook handler located in [unknown_code_page] ntkrnlpa.exe-->IoIsOperationSynchronous, Type: Inline - RelativeJump at address 0x804EF54E hook handler located in [klif.sys] ntkrnlpa.exe-->KeAttachProcess, Type: Inline - RelativeJump at address 0x804F853C hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->KeStackAttachProcess, Type: Inline - RelativeJump at address 0x804F8638 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->NtDeviceIoControlFile, Type: Inline - RelativeJump at address 0x8056E2FC hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->NtOpenProcess, Type: Inline - RelativeJump at address 0x805C0B56 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->NtOpenSection, Type: Inline - RelativeJump at address 0x8059F258 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->NtProtectVirtualMemory, Type: Inline - RelativeJump at address 0x805AD4C6 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->NtReadVirtualMemory, Type: Inline - RelativeJump at address 0x805A91D0 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->NtWriteFile, Type: Inline - RelativeJump at address 0x805720A0 hook handler located in [dump_wmimmc.sys] ntkrnlpa.exe-->NtWriteVirtualMemory, Type: Inline - RelativeJump at address 0x805A92DA hook handler located in [dump_wmimmc.sys] 2008-2-18 17:15 0
luolinlove 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	luolinlove 7 楼看不懂，还是去看看初级教程。 2008-2-19 00:18 0
灵火雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 71 粉丝 0 关注私信	灵火 8 楼看不懂，还是去看看初级教程。 2008-2-20 14:13 0
xihuanxue 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	xihuanxue 9 楼 driverdevelop注册不上谁上传个上来谢谢 2008-2-22 17:39 0
NINEIN 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	NINEIN 10 楼那块有不初级教程呀。没找到呀。能给个链接吗 2008-2-22 22:55 0
linhanshi 雪币： 97697 活跃值： (200759) 能力值： (RANK：10 ) 在线值：发帖 9246 回帖 27942 粉丝 451 关注私信	linhanshi 11 楼 Down it. 上传的附件： RkU3.7.300.503.zip （154.22kb，366次下载） 2008-2-23 01:26 0
anthor 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	anthor 12 楼请问下NP坚定到我的UCE(undetected cheat engine).. 怎样找出哪个字串被坚定到呢?? 2008-2-24 01:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复