首页
社区
课程
招聘
[求助]关于np驱动
发表于: 2008-4-18 14:09 14492

[求助]关于np驱动

2008-4-18 14:09
14492
我加载了驱动。把np的驱动修改过的函数。改为跳转回原函数的地址。可是。一修改完。就蓝屏了。np的驱动是由gamegard加载的。gamegard进程已经退出了。是不是np的驱动里面还有监视的代码。问下各位大大。在驱动层要怎么修改哦

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (15)
雪    币: 157
活跃值: (466)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
00000000        0.00000000        加载驱动       
00000001        1.66905546        dwOldKeStackAttachProcess:8061713C       
00000002        1.66906321        dwOldNtOpenProcess:805CAEBA       
00000003        1.66906738        dwOldNtProtectVirtualMemory:805B7F98       
00000004        1.66907108        dwOldNtReadVirtualMemory:805B3E48       
00000005        1.66907465        dwOldNtWriteVirtualMemory:805B3F52       
00000006        1.66907835        dwOldNtUserSendInput:BF8C3307       
00000007        3.86240244        原NtOpenProcess地址:805CAEBA,现在的地址:805CAEBA       
00000008        3.86241078        68 C4 00 00 00 68 A0 B4 4D 80 E8 47 10 F7 FF 33        
00000009        3.86241579        原NtProtectVirtualMemory地址:805B7F98,现在的地址:805B7F98       
00000010        3.86241984        6A 44 68 78 B0 4D 80 E8 6C 3F F8 FF 33 DB 89 5D        
00000011        3.86242461        原NtReadVirtualMemory地址:805B3E48,现在的地址:805B3E48       
00000012        3.86242867        6A 1C 68 D0 AE 4D 80 E8 BC 80 F8 FF 64 A1 24 01        
00000013        3.86243296        原NtWriteVirtualMemory地址:805B3F52,现在的地址:805B3F52       
00000014        3.86243701        6A 1C 68 E8 AE 4D 80 E8 B2 7F F8 FF 64 A1 24 01        
00000015        3.86244154        原NtUserSendInput地址:BF8C3307,现在的地址:BF8C3307       
00000016        3.86244535        6A 18 68 58 CF 98 BF E8 A5 D8 F3 FF 83 65 E4 00        
00000017        3.86245894        原KeStackAttachProcess地址:8061713C,现在的地址:8061713C       
00000018        3.86246300        6A 50 68 10 E5 4D 80 E8 C8 4D F2 FF 33 F6 89 75        
00000019        40.39643860        [752] FSOUND Output Method :        
00000020        40.39652252        [752] FSOUND_OUTPUT_DSOUND       
00000021        40.39657974        [752] FSOUND Mixer         :        
00000022        40.39686203        [752] FSOUND_MIXER_QUALITY_MMXP6       
00000023        53.27365494        [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_horse.ief       
00000024        53.28157806        [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_unicon.ief       
00000025        53.28175354        [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_wolf.ief       
00000026        53.28187943        [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_lizard.ief       
00000027        53.28207016        [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_dragon.ief       
00000028        53.28218460        [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_tiger.ief       
00000029        53.28253174        [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_horse_all.ief       
00000030        53.28264236        [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_spider.ief       
00000031        64.66335297        原NtOpenProcess地址:805CAEBA,现在的地址:B5491A64       
00000032        64.66336823        55 8B EC 51 56 BE AC 3C 49 B5 33 C9 57 8B C6 41        
00000033        64.66337585        原NtProtectVirtualMemory地址:805B7F98,现在的地址:B5491BBE       
00000034        64.66337585        55 8B EC 51 56 BE AC 3C 49 B5 33 C9 57 8B C6 41        
00000035        64.66338348        原NtReadVirtualMemory地址:805B3E48,现在的地址:B5491ADA       
00000036        64.66338348        55 8B EC 51 56 BE AC 3C 49 B5 33 C9 8B C6 41 F0        
00000037        64.66339111        原NtWriteVirtualMemory地址:805B3F52,现在的地址:B5491B4C       
00000038        64.66339111        55 8B EC 51 56 BE AC 3C 49 B5 33 C9 8B C6 41 F0        
00000039        64.66339874        原NtUserSendInput地址:BF8C3307,现在的地址:B5491C3C       
00000040        64.66339874        55 8B EC 51 53 56 BE AC 3C 49 B5 33 C9 57 8B C6        
00000041        64.66342163        原KeStackAttachProcess地址:8061713C,现在的地址:80521A7E       
00000042        64.66342163        8B FF 55 8B EC 83 EC 34 A1 1C 21 56 80 57 8B 7D        
00000043        529.36346436        驱动被卸载
2008-4-18 14:13
0
雪    币: 157
活跃值: (466)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
pushad
        ;下面是用KeServiceDescriptorTabled导出符号获得数组的基地址,这个数组中包含有NtXXXX函数的入口地址。
        mov eax, KeServiceDescriptorTable
        mov esi, dword ptr[eax]
        mov esi, dword ptr[esi]
        ;用MmGetSystemRoutineAddress来获得函数ZwLoadDriver的地址。并从这个函数地址后面的第2个字节中取得服务号。从而
        ;获得以服务号为下标的数组元素。
        invoke MmGetSystemRoutineAddress,addr g_KeStackAttachProcess
        inc eax
        movzx ecx,byte ptr[eax]
        sal ecx,2                  
        add esi,ecx
        mov edi,dword ptr[esi]
        invoke DbgPrint, $CTA0("g_KeStackAttachProcess:%08X"),edi
        popad
怎么取KeStackAttachProcess不对哦
2008-4-18 16:08
0
雪    币: 1746
活跃值: (287)
能力值: (RANK:450 )
在线值:
发帖
回帖
粉丝
4
NP多层监护 你只改一层 被NP发现了 NP直接重启系统
2008-4-19 11:25
0
雪    币: 451
活跃值: (78)
能力值: ( LV12,RANK:470 )
在线值:
发帖
回帖
粉丝
5
lz认真去看看偶那个文章把,,
很多hook都需要还原啊
2008-4-19 11:42
0
雪    币: 287
活跃值: (102)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
6
好象还原也不行吧
2008-4-19 11:45
0
雪    币: 302
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
Np一但发现你反编译有两种情况一蓝屏,一重启,你那样的修改是不行的....
2008-5-20 15:00
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
NtOpenProcess应该不能还原。
2008-5-20 17:00
0
雪    币: 1080
活跃值: (1283)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
  纯脆观看
2008-5-23 18:14
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
NP修复SSDT没意义,还有更深的拦截
2008-6-11 14:43
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
貌似NP很难搞呀.
2008-6-11 20:59
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
2008-9-5 14:13
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
"NP多层监护 "linxer这句话原来在没搞清楚之前,还没注意到,差点感觉np有点智能化的意思,好险!
2008-9-5 20:46
0
雪    币: 7
活跃值: (135)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
对付NP不要修复他的监视..

而是躲过他的监视..这样工作量小点..
2008-9-7 10:16
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
只有商业利益才会去研究啊,纯粹做技术的越来越少了
2008-9-7 17:41
0
雪    币: 215
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
哎 躲过监视不能用一般的工具调试吧?还要自己写工具,工作量技术量和还原保护差不了多少
2008-9-26 14:35
0
游客
登录 | 注册 方可回帖
返回
//