[求助]关于np驱动-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
likecrack 雪币： 157 活跃值： (376) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 117 粉丝 3 关注私信	likecrack 2008-4-18 14:13 2 楼 0 00000000 0.00000000 加载驱动 00000001 1.66905546 dwOldKeStackAttachProcess:8061713C 00000002 1.66906321 dwOldNtOpenProcess:805CAEBA 00000003 1.66906738 dwOldNtProtectVirtualMemory:805B7F98 00000004 1.66907108 dwOldNtReadVirtualMemory:805B3E48 00000005 1.66907465 dwOldNtWriteVirtualMemory:805B3F52 00000006 1.66907835 dwOldNtUserSendInput:BF8C3307 00000007 3.86240244 原NtOpenProcess地址:805CAEBA，现在的地址:805CAEBA 00000008 3.86241078 68 C4 00 00 00 68 A0 B4 4D 80 E8 47 10 F7 FF 33 00000009 3.86241579 原NtProtectVirtualMemory地址:805B7F98，现在的地址:805B7F98 00000010 3.86241984 6A 44 68 78 B0 4D 80 E8 6C 3F F8 FF 33 DB 89 5D 00000011 3.86242461 原NtReadVirtualMemory地址:805B3E48，现在的地址:805B3E48 00000012 3.86242867 6A 1C 68 D0 AE 4D 80 E8 BC 80 F8 FF 64 A1 24 01 00000013 3.86243296 原NtWriteVirtualMemory地址:805B3F52，现在的地址:805B3F52 00000014 3.86243701 6A 1C 68 E8 AE 4D 80 E8 B2 7F F8 FF 64 A1 24 01 00000015 3.86244154 原NtUserSendInput地址:BF8C3307，现在的地址:BF8C3307 00000016 3.86244535 6A 18 68 58 CF 98 BF E8 A5 D8 F3 FF 83 65 E4 00 00000017 3.86245894 原KeStackAttachProcess地址:8061713C，现在的地址:8061713C 00000018 3.86246300 6A 50 68 10 E5 4D 80 E8 C8 4D F2 FF 33 F6 89 75 00000019 40.39643860 [752] FSOUND Output Method : 00000020 40.39652252 [752] FSOUND_OUTPUT_DSOUND 00000021 40.39657974 [752] FSOUND Mixer : 00000022 40.39686203 [752] FSOUND_MIXER_QUALITY_MMXP6 00000023 53.27365494 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_horse.ief 00000024 53.28157806 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_unicon.ief 00000025 53.28175354 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_wolf.ief 00000026 53.28187943 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_lizard.ief 00000027 53.28207016 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_dragon.ief 00000028 53.28218460 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_tiger.ief 00000029 53.28253174 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_horse_all.ief 00000030 53.28264236 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_spider.ief 00000031 64.66335297 原NtOpenProcess地址:805CAEBA，现在的地址:B5491A64 00000032 64.66336823 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 57 8B C6 41 00000033 64.66337585 原NtProtectVirtualMemory地址:805B7F98，现在的地址:B5491BBE 00000034 64.66337585 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 57 8B C6 41 00000035 64.66338348 原NtReadVirtualMemory地址:805B3E48，现在的地址:B5491ADA 00000036 64.66338348 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 8B C6 41 F0 00000037 64.66339111 原NtWriteVirtualMemory地址:805B3F52，现在的地址:B5491B4C 00000038 64.66339111 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 8B C6 41 F0 00000039 64.66339874 原NtUserSendInput地址:BF8C3307，现在的地址:B5491C3C 00000040 64.66339874 55 8B EC 51 53 56 BE AC 3C 49 B5 33 C9 57 8B C6 00000041 64.66342163 原KeStackAttachProcess地址:8061713C，现在的地址:80521A7E 00000042 64.66342163 8B FF 55 8B EC 83 EC 34 A1 1C 21 56 80 57 8B 7D 00000043 529.36346436 驱动被卸载
likecrack 雪币： 157 活跃值： (376) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 117 粉丝 3 关注私信	likecrack 2008-4-18 16:08 3 楼 0 pushad ;下面是用KeServiceDescriptorTabled导出符号获得数组的基地址，这个数组中包含有NtXXXX函数的入口地址。 mov eax, KeServiceDescriptorTable mov esi, dword ptr[eax] mov esi, dword ptr[esi] ;用MmGetSystemRoutineAddress来获得函数ZwLoadDriver的地址。并从这个函数地址后面的第2个字节中取得服务号。从而 ;获得以服务号为下标的数组元素。 invoke MmGetSystemRoutineAddress,addr g_KeStackAttachProcess inc eax movzx ecx,byte ptr[eax] sal ecx,2 add esi,ecx mov edi,dword ptr[esi] invoke DbgPrint, $CTA0("g_KeStackAttachProcess:%08X"),edi popad 怎么取KeStackAttachProcess不对哦
linxer 雪币： 1746 活跃值： (292) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 161 粉丝 20 关注私信	linxer 11 2008-4-19 11:25 4 楼 0 NP多层监护你只改一层被NP发现了 NP直接重启系统
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 37 回帖 731 粉丝 6 关注私信	zhuwg 11 2008-4-19 11:42 5 楼 0 lz认真去看看偶那个文章把，，很多hook都需要还原啊
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 242 粉丝 0 关注私信	cxhcxh 3 2008-4-19 11:45 6 楼 0 好象还原也不行吧
烽火sheng 雪币： 302 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	烽火sheng 2008-5-20 15:00 7 楼 0 Np一但发现你反编译有两种情况一蓝屏,一重启,你那样的修改是不行的....
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 2008-5-20 17:00 8 楼 0 NtOpenProcess应该不能还原。
lwykj 雪币： 395 活跃值： (530) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 240 粉丝 0 关注私信	lwykj 2008-5-23 18:14 9 楼 0 纯脆观看
bassini 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	bassini 2008-6-11 14:43 10 楼 0 NP修复SSDT没意义，还有更深的拦截
KEY一D六O 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	KEY一D六O 2008-6-11 20:59 11 楼 0 貌似NP很难搞呀.
willknight 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	willknight 2008-9-5 14:13 12 楼 0
落日一笑雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 34 粉丝 0 关注私信	落日一笑 2008-9-5 20:46 13 楼 0 "NP多层监护 "linxer这句话原来在没搞清楚之前，还没注意到，差点感觉np有点智能化的意思，好险！
lixianhuei 雪币： 7 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	lixianhuei 2008-9-7 10:16 14 楼 0 对付NP不要修复他的监视.. 而是躲过他的监视..这样工作量小点..
sglkan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	sglkan 2008-9-7 17:41 15 楼 0 只有商业利益才会去研究啊，纯粹做技术的越来越少了
veninson 雪币： 215 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 101 粉丝 0 关注私信	veninson 2008-9-26 14:35 16 楼 0 哎躲过监视不能用一般的工具调试吧？还要自己写工具，工作量技术量和还原保护差不了多少
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (15)
likecrack 雪币： 157 活跃值： (376) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 117 粉丝 3 关注私信	likecrack 2008-4-18 14:13 2 楼 0 00000000 0.00000000 加载驱动 00000001 1.66905546 dwOldKeStackAttachProcess:8061713C 00000002 1.66906321 dwOldNtOpenProcess:805CAEBA 00000003 1.66906738 dwOldNtProtectVirtualMemory:805B7F98 00000004 1.66907108 dwOldNtReadVirtualMemory:805B3E48 00000005 1.66907465 dwOldNtWriteVirtualMemory:805B3F52 00000006 1.66907835 dwOldNtUserSendInput:BF8C3307 00000007 3.86240244 原NtOpenProcess地址:805CAEBA，现在的地址:805CAEBA 00000008 3.86241078 68 C4 00 00 00 68 A0 B4 4D 80 E8 47 10 F7 FF 33 00000009 3.86241579 原NtProtectVirtualMemory地址:805B7F98，现在的地址:805B7F98 00000010 3.86241984 6A 44 68 78 B0 4D 80 E8 6C 3F F8 FF 33 DB 89 5D 00000011 3.86242461 原NtReadVirtualMemory地址:805B3E48，现在的地址:805B3E48 00000012 3.86242867 6A 1C 68 D0 AE 4D 80 E8 BC 80 F8 FF 64 A1 24 01 00000013 3.86243296 原NtWriteVirtualMemory地址:805B3F52，现在的地址:805B3F52 00000014 3.86243701 6A 1C 68 E8 AE 4D 80 E8 B2 7F F8 FF 64 A1 24 01 00000015 3.86244154 原NtUserSendInput地址:BF8C3307，现在的地址:BF8C3307 00000016 3.86244535 6A 18 68 58 CF 98 BF E8 A5 D8 F3 FF 83 65 E4 00 00000017 3.86245894 原KeStackAttachProcess地址:8061713C，现在的地址:8061713C 00000018 3.86246300 6A 50 68 10 E5 4D 80 E8 C8 4D F2 FF 33 F6 89 75 00000019 40.39643860 [752] FSOUND Output Method : 00000020 40.39652252 [752] FSOUND_OUTPUT_DSOUND 00000021 40.39657974 [752] FSOUND Mixer : 00000022 40.39686203 [752] FSOUND_MIXER_QUALITY_MMXP6 00000023 53.27365494 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_horse.ief 00000024 53.28157806 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_unicon.ief 00000025 53.28175354 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_wolf.ief 00000026 53.28187943 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_lizard.ief 00000027 53.28207016 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_dragon.ief 00000028 53.28218460 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_tiger.ief 00000029 53.28253174 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_horse_all.ief 00000030 53.28264236 [752] E:\TW_Rohan\Rohan1\model\player\ief\m_v_spider.ief 00000031 64.66335297 原NtOpenProcess地址:805CAEBA，现在的地址:B5491A64 00000032 64.66336823 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 57 8B C6 41 00000033 64.66337585 原NtProtectVirtualMemory地址:805B7F98，现在的地址:B5491BBE 00000034 64.66337585 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 57 8B C6 41 00000035 64.66338348 原NtReadVirtualMemory地址:805B3E48，现在的地址:B5491ADA 00000036 64.66338348 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 8B C6 41 F0 00000037 64.66339111 原NtWriteVirtualMemory地址:805B3F52，现在的地址:B5491B4C 00000038 64.66339111 55 8B EC 51 56 BE AC 3C 49 B5 33 C9 8B C6 41 F0 00000039 64.66339874 原NtUserSendInput地址:BF8C3307，现在的地址:B5491C3C 00000040 64.66339874 55 8B EC 51 53 56 BE AC 3C 49 B5 33 C9 57 8B C6 00000041 64.66342163 原KeStackAttachProcess地址:8061713C，现在的地址:80521A7E 00000042 64.66342163 8B FF 55 8B EC 83 EC 34 A1 1C 21 56 80 57 8B 7D 00000043 529.36346436 驱动被卸载
likecrack 雪币： 157 活跃值： (376) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 117 粉丝 3 关注私信	likecrack 2008-4-18 16:08 3 楼 0 pushad ;下面是用KeServiceDescriptorTabled导出符号获得数组的基地址，这个数组中包含有NtXXXX函数的入口地址。 mov eax, KeServiceDescriptorTable mov esi, dword ptr[eax] mov esi, dword ptr[esi] ;用MmGetSystemRoutineAddress来获得函数ZwLoadDriver的地址。并从这个函数地址后面的第2个字节中取得服务号。从而 ;获得以服务号为下标的数组元素。 invoke MmGetSystemRoutineAddress,addr g_KeStackAttachProcess inc eax movzx ecx,byte ptr[eax] sal ecx,2 add esi,ecx mov edi,dword ptr[esi] invoke DbgPrint, $CTA0("g_KeStackAttachProcess:%08X"),edi popad 怎么取KeStackAttachProcess不对哦
linxer 雪币： 1746 活跃值： (292) 能力值： (RANK：450 ) 在线值：发帖 26 回帖 161 粉丝 20 关注私信	linxer 11 2008-4-19 11:25 4 楼 0 NP多层监护你只改一层被NP发现了 NP直接重启系统
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 37 回帖 731 粉丝 6 关注私信	zhuwg 11 2008-4-19 11:42 5 楼 0 lz认真去看看偶那个文章把，，很多hook都需要还原啊
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 242 粉丝 0 关注私信	cxhcxh 3 2008-4-19 11:45 6 楼 0 好象还原也不行吧
烽火sheng 雪币： 302 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 28 粉丝 0 关注私信	烽火sheng 2008-5-20 15:00 7 楼 0 Np一但发现你反编译有两种情况一蓝屏,一重启,你那样的修改是不行的....
北方滴狼雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 33 粉丝 0 关注私信	北方滴狼 2008-5-20 17:00 8 楼 0 NtOpenProcess应该不能还原。
lwykj 雪币： 395 活跃值： (530) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 240 粉丝 0 关注私信	lwykj 2008-5-23 18:14 9 楼 0 纯脆观看
bassini 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	bassini 2008-6-11 14:43 10 楼 0 NP修复SSDT没意义，还有更深的拦截
KEY一D六O 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	KEY一D六O 2008-6-11 20:59 11 楼 0 貌似NP很难搞呀.
willknight 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	willknight 2008-9-5 14:13 12 楼 0
落日一笑雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 34 粉丝 0 关注私信	落日一笑 2008-9-5 20:46 13 楼 0 "NP多层监护 "linxer这句话原来在没搞清楚之前，还没注意到，差点感觉np有点智能化的意思，好险！
lixianhuei 雪币： 7 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	lixianhuei 2008-9-7 10:16 14 楼 0 对付NP不要修复他的监视.. 而是躲过他的监视..这样工作量小点..
sglkan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	sglkan 2008-9-7 17:41 15 楼 0 只有商业利益才会去研究啊，纯粹做技术的越来越少了
veninson 雪币： 215 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 101 粉丝 0 关注私信	veninson 2008-9-26 14:35 16 楼 0 哎躲过监视不能用一般的工具调试吧？还要自己写工具，工作量技术量和还原保护差不了多少
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复