[注意]NP继续更新了[2008.7.7]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[注意]NP继续更新了[2008.7.7]

发表于: 2008-7-7 07:45 14480

[注意]NP继续更新了[2008.7.7]

zhuwg

2008-7-7 07:45

14480

最新的NP 1155

GameMon.des 2.53 MB (2,661,170 字节)
增加了如下的hook.也许之前就增加过不过偶没去注意把

ntoskrnl.exe-->KiAttachProcess, Type: Inline - RelativeJump at address 0x804EC7DA hook handler located in [dump_wmimmc.sys]
ntoskrnl.exe-->KiMoveApcState, Type: Inline - RelativeJump at address 0x804EC869 hook handler located in [dump_wmimmc.sys]
ntoskrnl.exe-->NtProtectVirtualMemory, Type: Inline - RelativeJump at address 0x80575045 hook handler located in [dump_wmimmc.sys]
ntoskrnl.exe-->NtOpenSection, Type: Inline - RelativeJump at address 0x8057869B hook handler located in [dump_wmimmc.sys]
ntoskrnl.exe-->NtWriteFile, Type: Inline - RelativeJump at address 0x805790D5 hook handler located in [dump_wmimmc.sys]

notify方面减少了目前只保留了ProcessNotify

影响:
hook进入了更深层次.以前是KeAttachProcess+KeStackAttachProcess
如今进入了KiAttachProcess 更加深处的KiMoveApcState
灌个水做三个俯卧撑还怕这个的NP?

\x01\x08\x7d\xa3\x69\x24\x55\xdb\x40\x7f\xa3\x20\x5a\xd0\xc5\x8b\xc9\x2c\x6e\x31\x19\x94\x65

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#软件保护

收藏・6

免费・0

支持

最新回复 (20)
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 2 楼做3个俯卧撑召唤出神龙干掉NP 2008-7-7 08:44 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 3 楼 NtDeviceIoControlFile 一直都有吧 2008-7-7 09:21 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 4 楼刚才发现确实一直有看错了对不起aki大牛 2008-7-7 12:07 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼 np搞什么鸟毛自己load一份用自己的不理他就是了 2008-7-7 15:03 0
无网不胜雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	无网不胜 6 楼不错请问楼主的QQ多少？请PM我 2008-7-7 17:22 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 7 楼记得上上个月好像就看到1159了 2008-7-8 01:28 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 8 楼正解 2008-7-8 02:07 0
文网天下雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	文网天下 9 楼请问;NP 1155 在那里下载呀? 2008-7-8 17:08 0
阿牛雪币： 154 活跃值： (546) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 77 粉丝 1 关注私信	阿牛 10 楼老zhu又来看雪俯卧撑了 2008-7-8 17:21 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 11 楼不知道是那个game..偶好久没注意了最近随便找个游戏看了一下是1155 2008-7-9 07:18 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 12 楼增加了这么几个，应该没有太实质的作用，估计过的方法都不用变 2008-7-31 22:46 0
throb 雪币： 314 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 73 粉丝 0 关注私信	throb 13 楼 patch! patch! 上传的附件：图像005.jpg （136.94kb，1077次下载） 2008-8-1 18:24 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 14 楼哇！贴名片了。楼主小心了。 2008-8-1 18:53 0
ytnb 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 87 粉丝 0 关注私信	ytnb 15 楼韩国DNF里面加的应该是比较新的, 只是猜, 没任何根据 2008-8-1 19:49 0
laobinfff 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	laobinfff 16 楼我也想知道楼主QQ 可以PM我吗 RMB高价求帮助 2008-8-2 20:29 0
laobinfff 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	laobinfff 17 楼寻一个可以解决QQ系列游戏驱动及NP技术的朋友。主要解决一些游戏的反调试问题如 QQ系列驱动千年3的GPK 。NP 等问题。。。高价只要你有技术不会亏待你联系QQ：695466958 2008-8-2 20:46 0
likecrack 雪币： 157 活跃值： (456) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 120 粉丝 3 关注私信	likecrack 18 楼以前写过一个驱动,可以去掉驱动层的hook 不过代码没了.现在也懒得写了. 2008-8-5 04:22 0
heimei 雪币： 82 活跃值： (526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 278 粉丝 1 关注私信	heimei 19 楼 321 上传一个1218 dump_wmimmc.sys ntoskrnl.exe+0x0001A4C1, Type: Inline - RelativeJump at address 0x804F24C1 hook handler located in [dump_wmimmc.sys] ntoskrnl.exe+0x0001A550, Type: Inline - RelativeJump at address 0x804F2550 hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->KeAttachProcess, Type: Inline - RelativeJump at address 0x804F2595 hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->KeStackAttachProcess, Type: Inline - RelativeJump at address 0x804F4F95 hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->NtDeviceIoControlFile, Type: Inline - RelativeJump at address 0x805899A6 hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->NtOpenProcess, Type: Inline - RelativeJump at address 0x8058270A hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->NtOpenSection, Type: Inline - RelativeJump at address 0x8057B8B5 hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->NtProtectVirtualMemory, Type: Inline - RelativeJump at address 0x80582891 hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->NtReadVirtualMemory, Type: Inline - RelativeJump at address 0x805894CA hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->NtWriteFile, Type: Inline - RelativeJump at address 0x8058076D hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->NtWriteVirtualMemory, Type: Inline - RelativeJump at address 0x805895C2 hook handler located in [dump_wmimmc.sys] 上传的附件： 1218.dump_wmimmc.rar （158.56kb，78次下载） 2008-8-7 06:09 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 20 楼 RKU很多hook貌似都检测不出来，比如： inline: mov eax xxxxx call eax 2008-8-7 22:20 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 21 楼那几个钩子应该是一直都由的吧。呵呵，我这里由1210版的。能过，但是似乎是因为themida的原因，导致即便是我attach了，有时候调试器也会收不到调试事件。 2008-8-19 12:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zhuwg

发帖

739

回帖

470

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 2 楼做3个俯卧撑召唤出神龙干掉NP 2008-7-7 08:44 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 3 楼 NtDeviceIoControlFile 一直都有吧 2008-7-7 09:21 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 4 楼刚才发现确实一直有看错了对不起aki大牛 2008-7-7 12:07 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 5 楼 np搞什么鸟毛自己load一份用自己的不理他就是了 2008-7-7 15:03 0
无网不胜雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	无网不胜 6 楼不错请问楼主的QQ多少？请PM我 2008-7-7 17:22 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 7 楼记得上上个月好像就看到1159了 2008-7-8 01:28 0
十三少雪币： 226 活跃值： (15) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 402 粉丝 1 关注私信	十三少 2 8 楼正解 2008-7-8 02:07 0
文网天下雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	文网天下 9 楼请问;NP 1155 在那里下载呀? 2008-7-8 17:08 0
阿牛雪币： 154 活跃值： (546) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 77 粉丝 1 关注私信	阿牛 10 楼老zhu又来看雪俯卧撑了 2008-7-8 17:21 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 11 楼不知道是那个game..偶好久没注意了最近随便找个游戏看了一下是1155 2008-7-9 07:18 0
lustylol 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 106 粉丝 0 关注私信	lustylol 12 楼增加了这么几个，应该没有太实质的作用，估计过的方法都不用变 2008-7-31 22:46 0
throb 雪币： 314 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 73 粉丝 0 关注私信	throb 13 楼 patch! patch! 上传的附件：图像005.jpg （136.94kb，1077次下载） 2008-8-1 18:24 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 14 楼哇！贴名片了。楼主小心了。 2008-8-1 18:53 0
ytnb 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 87 粉丝 0 关注私信	ytnb 15 楼韩国DNF里面加的应该是比较新的, 只是猜, 没任何根据 2008-8-1 19:49 0
laobinfff 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	laobinfff 16 楼我也想知道楼主QQ 可以PM我吗 RMB高价求帮助 2008-8-2 20:29 0
laobinfff 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	laobinfff 17 楼寻一个可以解决QQ系列游戏驱动及NP技术的朋友。主要解决一些游戏的反调试问题如 QQ系列驱动千年3的GPK 。NP 等问题。。。高价只要你有技术不会亏待你联系QQ：695466958 2008-8-2 20:46 0
likecrack 雪币： 157 活跃值： (456) 能力值： ( LV3，RANK：20 ) 在线值：发帖 27 回帖 120 粉丝 3 关注私信	likecrack 18 楼以前写过一个驱动,可以去掉驱动层的hook 不过代码没了.现在也懒得写了. 2008-8-5 04:22 0
heimei 雪币： 82 活跃值： (526) 能力值： ( LV2，RANK：10 ) 在线值：发帖 26 回帖 278 粉丝 1 关注私信	heimei 19 楼 321 上传一个1218 dump_wmimmc.sys ntoskrnl.exe+0x0001A4C1, Type: Inline - RelativeJump at address 0x804F24C1 hook handler located in [dump_wmimmc.sys] ntoskrnl.exe+0x0001A550, Type: Inline - RelativeJump at address 0x804F2550 hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->KeAttachProcess, Type: Inline - RelativeJump at address 0x804F2595 hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->KeStackAttachProcess, Type: Inline - RelativeJump at address 0x804F4F95 hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->NtDeviceIoControlFile, Type: Inline - RelativeJump at address 0x805899A6 hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->NtOpenProcess, Type: Inline - RelativeJump at address 0x8058270A hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->NtOpenSection, Type: Inline - RelativeJump at address 0x8057B8B5 hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->NtProtectVirtualMemory, Type: Inline - RelativeJump at address 0x80582891 hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->NtReadVirtualMemory, Type: Inline - RelativeJump at address 0x805894CA hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->NtWriteFile, Type: Inline - RelativeJump at address 0x8058076D hook handler located in [dump_wmimmc.sys] ntoskrnl.exe-->NtWriteVirtualMemory, Type: Inline - RelativeJump at address 0x805895C2 hook handler located in [dump_wmimmc.sys] 上传的附件： 1218.dump_wmimmc.rar （158.56kb，78次下载） 2008-8-7 06:09 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 20 楼 RKU很多hook貌似都检测不出来，比如： inline: mov eax xxxxx call eax 2008-8-7 22:20 0
stupidass 雪币： 356 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 163 粉丝 0 关注私信	stupidass 21 楼那几个钩子应该是一直都由的吧。呵呵，我这里由1210版的。能过，但是似乎是因为themida的原因，导致即便是我attach了，有时候调试器也会收不到调试事件。 2008-8-19 12:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复