[求助]关于np驱动-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
likecrack 雪币： 157 活跃值： (456) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 120 粉丝 3 关注私信	likecrack 2 楼 00000000 0.00000000 加载驱动 00000001 1.66905546 dwOldKeStackAttachProcess:8061713C 00000002 1.66906321 dwOldNtOpenProcess:805CAEBA 00000003 1.66906738 dwOldNtProtectVirtualMemory:805B7F98 00000004 1.66907108 dwOldNtReadVirtualMemory:805B3E48 00000005 1.66907465 dwOldNtWriteVirtualMemory:805B3F52 00000006 1.66907835 dwOldNtUserSendInput:BF8C3307 00000007 3.86240244 原NtOpenProcess地址:805CAEBA，现在的地址:805CAEBA 00000008 3.86241078 68 C4 00 00 00 68 A0 B4 4D 80 E8 47 10 F7 FF 33 00000009 3.86241579 原NtProtectVirtualMemory地址:805B7F98，现在的地址:805B7F98 00000010 3.86241984 6A 44 68 78 B0 4D 80 E8 6C 3F F8 FF 33 DB 89 5D 00000011 3.86242461 原NtReadVirtualMemory地址:805B3E48，现在的地址:805B3E48 00000012 3.86242867 6A 1C 68 D0 AE 4D 80 E8 BC 80 F8 FF 64 A1 24 01 00000013 3.86243296 原NtWriteVirtualMemory地址:805B3F52，现在的地址:805B3F52 00000014 3.86243701 6A 1C 68 E8 AE 4D 80 E8 B2 7F F8 FF 64 A1 24 01 00000015 3.86244154 原NtUserSendInput地址:BF8C3307，现在的地址:BF8C3307 00000016 3.86244535 6A 18 68 58 CF 98 BF E8 A5 D8 F3 FF 83 65 E4 00 00000017 3.86245894 原KeStackAttachProcess地址:8061713C，现在的地址:8061713C 00000018 3.86246300 6A 50 68 10 E5 4D 80 E8 C8 4D F2 FF 33 F6 89 75 00000019 40.39643860 [752] FSOUND Output Method : 00000020 40.39652252 [752] FSOUND_OUTPUT_DSOUND 00000021 40.39657974 [752] FSOUND Mixer : 00000022 40.39686203 [752] FSOUND_MIXER_QUALITY_MMXP6 00000023 53.27365494 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_horse.ief 00000024 53.28157806 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_unicon.ief 00000025 53.28175354 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_wolf.ief 00000026 53.28187943 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_lizard.ief 00000027 53.28207016 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_dragon.ief 00000028 53.28218460 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_tiger.ief 00000029 53.28253174 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_horse_all.ief 00000030 53.28264236 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_spider.ief 00000031 64.66335297 原NtOpenProcess地址:805CAEBA，现在的地址:B5491A64 00000032 64.66336823 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 57 8B C6 41 00000033 64.66337585 原NtProtectVirtualMemory地址:805B7F98，现在的地址:B5491BBE 00000034 64.66337585 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 57 8B C6 41 00000035 64.66338348 原NtReadVirtualMemory地址:805B3E48，现在的地址:B5491ADA 00000036 64.66338348 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 8B C6 41 F0 00000037 64.66339111 原NtWriteVirtualMemory地址:805B3F52，现在的地址:B5491B4C 00000038 64.66339111 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 8B C6 41 F0 00000039 64.66339874 原NtUserSendInput地址:BF8C3307，现在的地址:B5491C3C 00000040 64.66339874 55 8B EC 51 53 56 BE AC 3C 49 B5 33 C9 57 8B C6 00000041 64.66342163 原KeStackAttachProcess地址:8061713C，现在的地址:80521A7E 00000042 64.66342163 8B FF 55 8B EC 83 EC 34 A1 1C 21 56 80 57 8B 7D 00000043 529.36346436 驱动被卸载 2008-4-18 14:13 0
likecrack 雪币： 157 活跃值： (456) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 120 粉丝 3 关注私信	likecrack 3 楼 pushad ;下面是用KeServiceDescriptorTabled导出符号获得数组的基地址，这个数组中包含有NtXXXX函数的入口地址。 mov eax, KeServiceDescriptorTable mov esi, dword ptr[eax] mov esi, dword ptr[esi] ;用MmGetSystemRoutineAddress来获得函数ZwLoadDriver的地址。并从这个函数地址后面的第2个字节中取得服务号。从而 ;获得以服务号为下标的数组元素。 invoke MmGetSystemRoutineAddress,addr g_KeStackAttachProcess inc eax movzx ecx,byte ptr[eax] sal ecx,2 add esi,ecx mov edi,dword ptr[esi] invoke DbgPrint, $CTA0("g_KeStackAttachProcess:%08X"),edi popad 怎么取KeStackAttachProcess不对哦 2008-4-18 16:08 0
linxer 雪币： 1746 活跃值： (287) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 164 粉丝 21 关注私信	linxer 11 4 楼 NP多层监护你只改一层被NP发现了 NP直接重启系统 2008-4-19 11:25 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 5 楼 lz认真去看看偶那个文章把，，很多hook都需要还原啊 2008-4-19 11:42 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 6 楼好象还原也不行吧 2008-4-19 11:45 0
烽火sheng 雪币： 302 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	烽火sheng 7 楼 Np一但发现你反编译有两种情况一蓝屏,一重启,你那样的修改是不行的.... 2008-5-20 15:00 0
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 8 楼 NtOpenProcess应该不能还原。 2008-5-20 17:00 0
lwykj 雪币： 1053 活跃值： (1253) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 243 粉丝 1 关注私信	lwykj 9 楼纯脆观看 2008-5-23 18:14 0
bassini 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	bassini 10 楼 NP修复SSDT没意义，还有更深的拦截 2008-6-11 14:43 0
KEY一D六O 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	KEY一D六O 11 楼貌似NP很难搞呀. 2008-6-11 20:59 0
willknight 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	willknight 12 楼 2008-9-5 14:13 0
落日一笑雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 37 粉丝 0 关注私信	落日一笑 13 楼 "NP多层监护 "linxer这句话原来在没搞清楚之前，还没注意到，差点感觉np有点智能化的意思，好险！ 2008-9-5 20:46 0
lixianhuei 雪币： 7 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	lixianhuei 14 楼对付NP不要修复他的监视.. 而是躲过他的监视..这样工作量小点.. 2008-9-7 10:16 0
sglkan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	sglkan 15 楼只有商业利益才会去研究啊，纯粹做技术的越来越少了 2008-9-7 17:41 0
veninson 雪币： 215 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 102 粉丝 0 关注私信	veninson 16 楼哎躲过监视不能用一般的工具调试吧？还要自己写工具，工作量技术量和还原保护差不了多少 2008-9-26 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
likecrack 雪币： 157 活跃值： (456) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 120 粉丝 3 关注私信	likecrack 2 楼 00000000 0.00000000 加载驱动 00000001 1.66905546 dwOldKeStackAttachProcess:8061713C 00000002 1.66906321 dwOldNtOpenProcess:805CAEBA 00000003 1.66906738 dwOldNtProtectVirtualMemory:805B7F98 00000004 1.66907108 dwOldNtReadVirtualMemory:805B3E48 00000005 1.66907465 dwOldNtWriteVirtualMemory:805B3F52 00000006 1.66907835 dwOldNtUserSendInput:BF8C3307 00000007 3.86240244 原NtOpenProcess地址:805CAEBA，现在的地址:805CAEBA 00000008 3.86241078 68 C4 00 00 00 68 A0 B4 4D 80 E8 47 10 F7 FF 33 00000009 3.86241579 原NtProtectVirtualMemory地址:805B7F98，现在的地址:805B7F98 00000010 3.86241984 6A 44 68 78 B0 4D 80 E8 6C 3F F8 FF 33 DB 89 5D 00000011 3.86242461 原NtReadVirtualMemory地址:805B3E48，现在的地址:805B3E48 00000012 3.86242867 6A 1C 68 D0 AE 4D 80 E8 BC 80 F8 FF 64 A1 24 01 00000013 3.86243296 原NtWriteVirtualMemory地址:805B3F52，现在的地址:805B3F52 00000014 3.86243701 6A 1C 68 E8 AE 4D 80 E8 B2 7F F8 FF 64 A1 24 01 00000015 3.86244154 原NtUserSendInput地址:BF8C3307，现在的地址:BF8C3307 00000016 3.86244535 6A 18 68 58 CF 98 BF E8 A5 D8 F3 FF 83 65 E4 00 00000017 3.86245894 原KeStackAttachProcess地址:8061713C，现在的地址:8061713C 00000018 3.86246300 6A 50 68 10 E5 4D 80 E8 C8 4D F2 FF 33 F6 89 75 00000019 40.39643860 [752] FSOUND Output Method : 00000020 40.39652252 [752] FSOUND_OUTPUT_DSOUND 00000021 40.39657974 [752] FSOUND Mixer : 00000022 40.39686203 [752] FSOUND_MIXER_QUALITY_MMXP6 00000023 53.27365494 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_horse.ief 00000024 53.28157806 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_unicon.ief 00000025 53.28175354 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_wolf.ief 00000026 53.28187943 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_lizard.ief 00000027 53.28207016 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_dragon.ief 00000028 53.28218460 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_tiger.ief 00000029 53.28253174 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_horse_all.ief 00000030 53.28264236 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_spider.ief 00000031 64.66335297 原NtOpenProcess地址:805CAEBA，现在的地址:B5491A64 00000032 64.66336823 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 57 8B C6 41 00000033 64.66337585 原NtProtectVirtualMemory地址:805B7F98，现在的地址:B5491BBE 00000034 64.66337585 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 57 8B C6 41 00000035 64.66338348 原NtReadVirtualMemory地址:805B3E48，现在的地址:B5491ADA 00000036 64.66338348 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 8B C6 41 F0 00000037 64.66339111 原NtWriteVirtualMemory地址:805B3F52，现在的地址:B5491B4C 00000038 64.66339111 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 8B C6 41 F0 00000039 64.66339874 原NtUserSendInput地址:BF8C3307，现在的地址:B5491C3C 00000040 64.66339874 55 8B EC 51 53 56 BE AC 3C 49 B5 33 C9 57 8B C6 00000041 64.66342163 原KeStackAttachProcess地址:8061713C，现在的地址:80521A7E 00000042 64.66342163 8B FF 55 8B EC 83 EC 34 A1 1C 21 56 80 57 8B 7D 00000043 529.36346436 驱动被卸载 2008-4-18 14:13 0
likecrack 雪币： 157 活跃值： (456) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 120 粉丝 3 关注私信	likecrack 3 楼 pushad ;下面是用KeServiceDescriptorTabled导出符号获得数组的基地址，这个数组中包含有NtXXXX函数的入口地址。 mov eax, KeServiceDescriptorTable mov esi, dword ptr[eax] mov esi, dword ptr[esi] ;用MmGetSystemRoutineAddress来获得函数ZwLoadDriver的地址。并从这个函数地址后面的第2个字节中取得服务号。从而 ;获得以服务号为下标的数组元素。 invoke MmGetSystemRoutineAddress,addr g_KeStackAttachProcess inc eax movzx ecx,byte ptr[eax] sal ecx,2 add esi,ecx mov edi,dword ptr[esi] invoke DbgPrint, $CTA0("g_KeStackAttachProcess:%08X"),edi popad 怎么取KeStackAttachProcess不对哦 2008-4-18 16:08 0
linxer 雪币： 1746 活跃值： (287) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 164 粉丝 21 关注私信	linxer 11 4 楼 NP多层监护你只改一层被NP发现了 NP直接重启系统 2008-4-19 11:25 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 5 楼 lz认真去看看偶那个文章把，，很多hook都需要还原啊 2008-4-19 11:42 0
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 245 粉丝 0 关注私信	cxhcxh 3 6 楼好象还原也不行吧 2008-4-19 11:45 0
烽火sheng 雪币： 302 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	烽火sheng 7 楼 Np一但发现你反编译有两种情况一蓝屏,一重启,你那样的修改是不行的.... 2008-5-20 15:00 0
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 8 楼 NtOpenProcess应该不能还原。 2008-5-20 17:00 0
lwykj 雪币： 1053 活跃值： (1253) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 243 粉丝 1 关注私信	lwykj 9 楼纯脆观看 2008-5-23 18:14 0
bassini 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	bassini 10 楼 NP修复SSDT没意义，还有更深的拦截 2008-6-11 14:43 0
KEY一D六O 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	KEY一D六O 11 楼貌似NP很难搞呀. 2008-6-11 20:59 0
willknight 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	willknight 12 楼 2008-9-5 14:13 0
落日一笑雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 37 粉丝 0 关注私信	落日一笑 13 楼 "NP多层监护 "linxer这句话原来在没搞清楚之前，还没注意到，差点感觉np有点智能化的意思，好险！ 2008-9-5 20:46 0
lixianhuei 雪币： 7 活跃值： (135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	lixianhuei 14 楼对付NP不要修复他的监视.. 而是躲过他的监视..这样工作量小点.. 2008-9-7 10:16 0
sglkan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	sglkan 15 楼只有商业利益才会去研究啊，纯粹做技术的越来越少了 2008-9-7 17:41 0
veninson 雪币： 215 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 102 粉丝 0 关注私信	veninson 16 楼哎躲过监视不能用一般的工具调试吧？还要自己写工具，工作量技术量和还原保护差不了多少 2008-9-26 14:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复