[注意]最新版本的NP有了一点改动-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[注意]最新版本的NP有了一点改动

2008-5-10 21:26 15880

[注意]最新版本的NP有了一点改动

zhuwg

2008-5-10 21:26

15880

最近又无聊了
听某兄弟说np又不能xx了

下载回来1份看看

测试版本
nProtect GameGuard Module
npggNT.des
87.0 KB (89,179 )
版本 2007, 8, 7, 1

nProtect Game Monitor
GameMon.des
2.46 MB (2,582,042 ֽ)

发现hook已经有了变化
SSDT hook 无
shadow 1个sendinput
inline +了KeSetProfileIrql

ntoskrnl.exe-->KeAttachProcess, Type: Inline - RelativeJump at address 0x804EC938 hook handler located in [dump_wmimmc.sys]
ntoskrnl.exe-->KeStackAttachProcess, Type: Inline - RelativeJump at address 0x804F2743 hook handler located in [dump_wmimmc.sys]
ntoskrnl.exe-->NtOpenProcess, Type: Inline - RelativeJump at address 0x80574C96 hook handler located in [dump_wmimmc.sys]
ntoskrnl.exe-->NtProtectVirtualMemory, Type: Inline - RelativeJump at address 0x80575045 hook handler located in [dump_wmimmc.sys]
ntoskrnl.exe-->NtDeviceIoControlFile, Type: Inline - RelativeJump at address 0x8057CF7B hook handler located in [dump_wmimmc.sys]
ntoskrnl.exe-->NtReadVirtualMemory, Type: Inline - RelativeJump at address 0x8057F48E hook handler located in [dump_wmimmc.sys]
ntoskrnl.exe-->NtWriteVirtualMemory, Type: Inline - RelativeJump at address 0x8057F5E0 hook handler located in [dump_wmimmc.sys]
ntoskrnl.exe-->KeSetProfileIrql, Type: Inline - RelativeCall at address 0x806A4116 hook handler located in [ntoskrnl.exe]

hook指向ntoskrnl.exe内部不过偶只能比较肯定是np
测试机器是新ghost的系统没有安装任何东西

r3的选择一个
[956]EXPLORER.EXE-->ntdll.dll-->NtDeviceIoControlFile, Type: Inline - RelativeJump at address 0x7C92D8E3 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->ntdll.dll-->NtLoadDriver, Type: Inline - RelativeJump at address 0x7C92DB6E hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->ntdll.dll-->NtOpenProcess, Type: Inline - RelativeJump at address 0x7C92DD7B hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->ntdll.dll-->NtProtectVirtualMemory, Type: Inline - RelativeJump at address 0x7C92DEB6 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->ntdll.dll-->NtQuerySystemInformation, Type: Inline - RelativeJump at address 0x7C92E1AA hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->ntdll.dll-->NtReadVirtualMemory, Type: Inline - RelativeJump at address 0x7C92E2BB hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->ntdll.dll-->NtSuspendProcess, Type: Inline - RelativeJump at address 0x7C92E83A hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->ntdll.dll-->NtSuspendThread, Type: Inline - RelativeJump at address 0x7C92E84F hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->ntdll.dll-->NtTerminateProcess, Type: Inline - RelativeJump at address 0x7C92E88E hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->ntdll.dll-->NtTerminateThread, Type: Inline - RelativeJump at address 0x7C92E8A3 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->ntdll.dll-->NtWriteVirtualMemory, Type: Inline - RelativeJump at address 0x7C92EA32 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->kernel32.dll-->VirtualProtectEx, Type: Inline - RelativeJump at address 0x7C801A5D hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->kernel32.dll-->VirtualProtect, Type: Inline - RelativeJump at address 0x7C801AD0 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->kernel32.dll-->LoadLibraryExW, Type: Inline - RelativeJump at address 0x7C801AF1 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->kernel32.dll-->ReadProcessMemory, Type: Inline - RelativeJump at address 0x7C8021CC hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->kernel32.dll-->WriteProcessMemory, Type: Inline - RelativeJump at address 0x7C80220F hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->kernel32.dll-->GetProcAddress, Type: Inline - RelativeJump at address 0x7C80AC28 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->kernel32.dll-->MapViewOfFileEx, Type: Inline - RelativeJump at address 0x7C80B71E hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->kernel32.dll-->MapViewOfFile, Type: Inline - RelativeJump at address 0x7C80B78D hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->kernel32.dll-->CreateProcessInternalW, Type: Inline - RelativeJump at address 0x7C8191EB hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->kernel32.dll-->OpenProcess, Type: Inline - RelativeJump at address 0x7C81E079 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->kernel32.dll-->MoveFileW, Type: Inline - RelativeJump at address 0x7C839659 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->kernel32.dll-->DebugActiveProcess, Type: Inline - RelativeJump at address 0x7C859F0B hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->advapi32.dll-->CreateProcessWithLogonW, Type: Inline - RelativeJump at address 0x77DE5C9D hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->user32.dll-->GetWindowThreadProcessId, Type: Inline - RelativeJump at address 0x77D18A80 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->user32.dll+0x00008B80, Type: Inline - RelativeJump at address 0x77D18B80 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->user32.dll-->PostMessageW, Type: Inline - RelativeJump at address 0x77D18CCB hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->user32.dll-->SendMessageW, Type: Inline - RelativeJump at address 0x77D1B8BA hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->user32.dll-->PostMessageA, Type: Inline - RelativeJump at address 0x77D1CB85 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->user32.dll-->SetWindowsHookExW, Type: Inline - RelativeJump at address 0x77D2E4AF hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->user32.dll-->SendInput, Type: Inline - RelativeJump at address 0x77D2F118 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->user32.dll-->SendInput, Type: Inline - RelativeJump at address 0x77D2F122 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->user32.dll-->SendMessageA, Type: Inline - RelativeJump at address 0x77D2F39A hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->user32.dll-->SetWindowsHookExA, Type: Inline - RelativeJump at address 0x77D311E9 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->user32.dll-->SetCursorPos, Type: Inline - RelativeJump at address 0x77D55E4B hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->user32.dll-->mouse_event, Type: Inline - RelativeJump at address 0x77D662FD hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->user32.dll-->keybd_event, Type: Inline - RelativeJump at address 0x77D66341 hook handler located in [npggNT.des]
[956]EXPLORER.EXE-->gdi32.dll-->GetPixel, Type: Inline - RelativeJump at address 0x77EFB471 hook handler located in [npggNT.des]

基本上没有多少变化

notify已经只有1个process了

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

#软件保护

收藏・7

点赞・7

打赏

最新回复 (21)
Bughoho 雪币： 1946 活跃值： (238) 能力值： (RANK：330 ) 在线值：发帖 67 回帖 1191 粉丝 27 关注私信	Bughoho 8 2008-5-10 21:33 2 楼 0 zhuwg很强大
mmnihao 雪币： 62 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	mmnihao 2008-5-10 22:23 3 楼 0 想请教下楼主,这些都是怎末分析得到的?
cpuArt 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	cpuArt 2008-5-10 23:38 4 楼 0 请问楼主用的是什么工具？
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 335 粉丝 0 关注私信	lunglungyu 1 2008-5-10 23:45 5 楼 0 LZ本身就是一把倚天剑
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2008-5-11 04:13 6 楼 0 高高手太強了.
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 242 粉丝 0 关注私信	cxhcxh 3 2008-5-11 10:20 7 楼 0 霸王卸甲之击破NP保护
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 242 粉丝 0 关注私信	cxhcxh 3 2008-5-11 10:22 8 楼 0 现在用SSDT hook还可以过NP吗
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 409 粉丝 0 关注私信	AASSMM 2008-5-12 12:59 9 楼 0 嘿嘿，我有100%包过NP ,HS的方法，只要不公开了，它再升10次级都能过，不过现在只能在单核机器上跑。。。。。。。。。
鸡蛋壳雪币： 421 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3132 粉丝 9 关注私信	鸡蛋壳 2008-5-12 18:33 10 楼 0 RKU可以看到这些的。
jhylddf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	jhylddf 2008-5-12 19:52 11 楼 0 膜拜,崇拜,不知道庸俗很么来表达~
hmilywen 雪币： 1379 活跃值： (708) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 532 粉丝 5 关注私信	hmilywen 2008-5-13 13:06 12 楼 0 进来膜拜下~
cpuArt 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	cpuArt 2008-5-13 18:05 13 楼 0 哈哈谦虚的楼主也已经成了膜拜的对象了 ... 楼主能不能教我实现一下 KiAttachProcess ? 你那个帖子里是伪代码 WRK里的代码我又编译不了 ... 楼主是怎么做的？
xleox 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	xleox 2008-5-14 21:14 14 楼 0 游戏或游戏防护程序已被非法修改这个问题还在求解中
jhylddf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	jhylddf 2008-5-29 18:18 15 楼 0 第2次进来膜拜~~~~~~学习学习
jhylddf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	jhylddf 2008-5-29 18:33 16 楼 0 楼主有没有开学习班啊,教学费学习逆向啊~
哎呀！雪币： 0 能力值： (RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	哎呀！ 2008-5-31 00:53 17 楼 0 嘿嘿，我知道你是什么方法，在双核机器上蓝屏，这个问题其实已经解决了！！！
xfoxbat 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	xfoxbat 2008-6-3 08:48 18 楼 0 能不能告訴我，如何過NP 嗎？
KEY一D六O 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	KEY一D六O 2008-6-11 21:54 19 楼 0 大侠.能偷偷滴告诉小弟吗!感激不尽呀。就算那么一点点TS.......... 我EMAIL:tmgame001@163.com
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 409 粉丝 0 关注私信	AASSMM 2008-7-5 12:11 20 楼 0 shadow 中才封了一个？？起码也得封了安装钩子和发送消息以及窗体查询吧
JJJC 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 308 粉丝 0 关注私信	JJJC 2008-7-6 10:07 21 楼 0 好不幸我的是双核
jjh 雪币： 111 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	jjh 2008-7-7 10:47 22 楼 0 %100包过NP,HS。。。高手啊，可否透露下？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

zhuwg

发帖

731

回帖

470

RANK

关注

私信

他的文章

[下载]windows 8.1 debug checked

WINDOWS.8.ENGLISH-MSDN Windows_Server_2012

[推荐]卡巴2008泄漏的源码下载

[注意]memcompare开发受阻,放出src等待牛人指点

[原创]莫拉克CrackMe三个级数解法以及错误纠正

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
Bughoho 雪币： 1946 活跃值： (238) 能力值： (RANK：330 ) 在线值：发帖 67 回帖 1191 粉丝 27 关注私信	Bughoho 8 2008-5-10 21:33 2 楼 0 zhuwg很强大
mmnihao 雪币： 62 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	mmnihao 2008-5-10 22:23 3 楼 0 想请教下楼主,这些都是怎末分析得到的?
cpuArt 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	cpuArt 2008-5-10 23:38 4 楼 0 请问楼主用的是什么工具？
lunglungyu 雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 335 粉丝 0 关注私信	lunglungyu 1 2008-5-10 23:45 5 楼 0 LZ本身就是一把倚天剑
sessiondiy 雪币： 2071 活跃值： (77) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3234 粉丝 6 关注私信	sessiondiy 4 2008-5-11 04:13 6 楼 0 高高手太強了.
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 242 粉丝 0 关注私信	cxhcxh 3 2008-5-11 10:20 7 楼 0 霸王卸甲之击破NP保护
cxhcxh 雪币： 287 活跃值： (102) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 242 粉丝 0 关注私信	cxhcxh 3 2008-5-11 10:22 8 楼 0 现在用SSDT hook还可以过NP吗
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 409 粉丝 0 关注私信	AASSMM 2008-5-12 12:59 9 楼 0 嘿嘿，我有100%包过NP ,HS的方法，只要不公开了，它再升10次级都能过，不过现在只能在单核机器上跑。。。。。。。。。
鸡蛋壳雪币： 421 活跃值： (412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 456 回帖 3132 粉丝 9 关注私信	鸡蛋壳 2008-5-12 18:33 10 楼 0 RKU可以看到这些的。
jhylddf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	jhylddf 2008-5-12 19:52 11 楼 0 膜拜,崇拜,不知道庸俗很么来表达~
hmilywen 雪币： 1379 活跃值： (708) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 532 粉丝 5 关注私信	hmilywen 2008-5-13 13:06 12 楼 0 进来膜拜下~
cpuArt 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	cpuArt 2008-5-13 18:05 13 楼 0 哈哈谦虚的楼主也已经成了膜拜的对象了 ... 楼主能不能教我实现一下 KiAttachProcess ? 你那个帖子里是伪代码 WRK里的代码我又编译不了 ... 楼主是怎么做的？
xleox 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	xleox 2008-5-14 21:14 14 楼 0 游戏或游戏防护程序已被非法修改这个问题还在求解中
jhylddf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	jhylddf 2008-5-29 18:18 15 楼 0 第2次进来膜拜~~~~~~学习学习
jhylddf 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 39 粉丝 0 关注私信	jhylddf 2008-5-29 18:33 16 楼 0 楼主有没有开学习班啊,教学费学习逆向啊~
哎呀！雪币： 0 能力值： (RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	哎呀！ 2008-5-31 00:53 17 楼 0 嘿嘿，我知道你是什么方法，在双核机器上蓝屏，这个问题其实已经解决了！！！
xfoxbat 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	xfoxbat 2008-6-3 08:48 18 楼 0 能不能告訴我，如何過NP 嗎？
KEY一D六O 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 12 粉丝 0 关注私信	KEY一D六O 2008-6-11 21:54 19 楼 0 大侠.能偷偷滴告诉小弟吗!感激不尽呀。就算那么一点点TS.......... 我EMAIL:tmgame001@163.com
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 409 粉丝 0 关注私信	AASSMM 2008-7-5 12:11 20 楼 0 shadow 中才封了一个？？起码也得封了安装钩子和发送消息以及窗体查询吧
JJJC 雪币： 141 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 308 粉丝 0 关注私信	JJJC 2008-7-6 10:07 21 楼 0 好不幸我的是双核
jjh 雪币： 111 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 55 粉丝 0 关注私信	jjh 2008-7-7 10:47 22 楼 0 %100包过NP,HS。。。高手啊，可否透露下？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复