[原创]呕心沥血，终于完成，发一套日本过NP木马分析流程图.（原创袄）-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]呕心沥血，终于完成，发一套日本过NP木马分析流程图.（原创袄）

发表于: 2008-9-2 21:51 48650

[原创]呕心沥血，终于完成，发一套日本过NP木马分析流程图.（原创袄）

ingei

2008-9-2 21:51

48650

【原创】呕心沥血，终于完成，发一套日本过NP木马分析流程图.（原创袄）

好多人在研究NP，最近闲来无事，也在研究NP，拿来个日本过NP木马做样本`小弟很菜``还有很多东西没分析出来``下面是小弟做的流程图。
希望对喜欢玩NP和木马的朋友有所帮助，HOHO，纯属技术研究，别无它意，软件流程图内不包括木马制作过程。

喜欢研究NP和病毒分析的朋友加我ＱＱ：1919158

写马的这个人够狠，截获好多游戏都是破的封包算法，I 服了 YOU！！！！！！！

希望这位兄弟看到帖后加我QQ啊，你为什么就这么厉害呢？那是为什么呢？你不是做外挂的就是内部人对吧？。。。。。。。你对网络函数了如指掌啊！！小弟再次佩服啊！！

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

HookSock2_Ws2_32_dll.jpg （78.54kb，4232次下载）
HookSock_WSock32_dll.jpg （69.68kb，5406次下载）
HookSockAPI.jpg （61.62kb，5359次下载）
HookSockSend2_WS2_32_dll.jpg （57.85kb，5335次下载）
HookSockSend_WSock32_dll.jpg （52.14kb，5351次下载）
SendDataHttp_FindSomMem.jpg （47.45kb，5330次下载）
ThreadStart_远程线程入口.jpg （63.68kb，5377次下载）

收藏・37

免费・7

支持

最新回复 (82) 1 2 3 4 ▶
ingei 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	ingei 2 楼 HookSock2_Ws2_32_dll.jpg HookSock_WSock32_dll.jpg HookSockAPI.jpg HookSockSend2_WS2_32_dll.jpg HookSockSend_WSock32_dll.jpg SendDataHttp_FindSomMem.jpg ThreadStart_远程线程入口.jpg 2008-9-2 21:55 0
lixupeng 雪币： 563 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 3 楼强！！！ 2008-9-2 22:40 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 4 楼猛！！！ 2008-9-2 23:03 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 5 楼什么东东? 看呒. 2008-9-3 01:19 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 6 楼国产的~~ 哈哈~~ 2008-9-3 01:37 0
dancebaby 雪币： 48 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 93 粉丝 0 关注私信	dancebaby 7 楼要火，占位。。 2008-9-3 08:01 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 8 楼哈哈，发个样本看看啊 2008-9-3 09:25 0
RootKits 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 53 粉丝 0 关注私信	RootKits 9 楼就是多帖了几张图，没从图上看出什么，辛苦了 2008-9-3 09:53 0
ingei 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	ingei 10 楼附件 ``````````` 上传的附件： rmt-live.rar （41.40kb，484次下载） 2008-9-3 11:11 0
shiyiqin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	shiyiqin 11 楼才疏学浅，看不懂 ... 2008-9-3 16:16 0
xss 雪币： 471 活跃值： (4068) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 315 粉丝 5 关注私信	xss 4 12 楼不错的流程图,谢谢了 2008-9-3 18:40 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 13 楼 LZ辛苦了，好图。。。 2008-9-3 20:32 0
chsml 雪币： 274 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 73 粉丝 2 关注私信	chsml 1 14 楼分析的很透彻比专业分析木马病毒出的报告还详细呵呵你哪是在研究NP 完全是在研究木马 Y做木马的吧 2008-9-4 09:45 0
ingei 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	ingei 15 楼我也在纳闷这个问题呢`` 我开始是在研究NP,但是自己也不知道怎么了``研究研究就变研究病毒了``说实话NP也有点研究不下去``太TM难`` 2008-9-4 12:02 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 16 楼 NP要脱壳，还原VM之后才有价值研究否则只能黑箱流程研究——有点难~ 2008-9-4 15:24 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 17 楼比较详细，学习一下 2008-9-4 16:08 0
雪魂雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	雪魂 18 楼看看先偶更菜 2008-9-5 13:34 0
willknight 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	willknight 19 楼我也在研究NP，郁闷 QQ:25056248 2008-9-5 13:49 0
HelloCrack 雪币： 215 活跃值： (90) 能力值： ( LV3，RANK：30 ) 在线值：发帖 20 回帖 209 粉丝 1 关注私信	HelloCrack 20 楼我到现在还不知道NP是什么意思 2008-9-6 09:04 0
goodbadboy 雪币： 261 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	goodbadboy 21 楼顶一个，据说是什么游戏保护程序 2008-9-6 10:05 0
SkyJack 雪币： 311 活跃值： (124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 0 关注私信	SkyJack 22 楼 LZ辛苦了... 2008-9-6 14:31 0
baohongyu 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 211 粉丝 0 关注私信	baohongyu 23 楼球蛋蛋好多人研究NP,可是就是不见大老出来指点下... 最新版 1222 抓不到 dmpe_wmimm.sys Hook ZwSetInfomationFile,没能拦到删除这个驱动的动作. 2008-9-26 09:58 0
kimpkok 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	kimpkok 24 楼哇，冒似没多少用捏。。。。。感觉还是很空。截取到数据包没多少用。重要的是跟踪算法，才能破数据包。跟踪算法要反汇编游戏，你拿什么工具反汇编游戏？NP直接把你拦在了任何反汇编工具之外！！！ 2008-9-26 17:41 0
jwasami 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 40 粉丝 0 关注私信	jwasami 25 楼好东西，留名 2008-11-21 23:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

ingei

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (82) 1 2 3 4 ▶
ingei 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	ingei 2 楼 HookSock2_Ws2_32_dll.jpg HookSock_WSock32_dll.jpg HookSockAPI.jpg HookSockSend2_WS2_32_dll.jpg HookSockSend_WSock32_dll.jpg SendDataHttp_FindSomMem.jpg ThreadStart_远程线程入口.jpg 2008-9-2 21:55 0
lixupeng 雪币： 563 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 3 楼强！！！ 2008-9-2 22:40 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 4 楼猛！！！ 2008-9-2 23:03 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 5 楼什么东东? 看呒. 2008-9-3 01:19 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 6 楼国产的~~ 哈哈~~ 2008-9-3 01:37 0
dancebaby 雪币： 48 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 93 粉丝 0 关注私信	dancebaby 7 楼要火，占位。。 2008-9-3 08:01 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 8 楼哈哈，发个样本看看啊 2008-9-3 09:25 0
RootKits 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 53 粉丝 0 关注私信	RootKits 9 楼就是多帖了几张图，没从图上看出什么，辛苦了 2008-9-3 09:53 0
ingei 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	ingei 10 楼附件 ``````````` 上传的附件： rmt-live.rar （41.40kb，484次下载） 2008-9-3 11:11 0
shiyiqin 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	shiyiqin 11 楼才疏学浅，看不懂 ... 2008-9-3 16:16 0
xss 雪币： 471 活跃值： (4068) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 315 粉丝 5 关注私信	xss 4 12 楼不错的流程图,谢谢了 2008-9-3 18:40 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 13 楼 LZ辛苦了，好图。。。 2008-9-3 20:32 0
chsml 雪币： 274 活跃值： (85) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 73 粉丝 2 关注私信	chsml 1 14 楼分析的很透彻比专业分析木马病毒出的报告还详细呵呵你哪是在研究NP 完全是在研究木马 Y做木马的吧 2008-9-4 09:45 0
ingei 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 54 粉丝 0 关注私信	ingei 15 楼我也在纳闷这个问题呢`` 我开始是在研究NP,但是自己也不知道怎么了``研究研究就变研究病毒了``说实话NP也有点研究不下去``太TM难`` 2008-9-4 12:02 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 16 楼 NP要脱壳，还原VM之后才有价值研究否则只能黑箱流程研究——有点难~ 2008-9-4 15:24 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 17 楼比较详细，学习一下 2008-9-4 16:08 0
雪魂雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	雪魂 18 楼看看先偶更菜 2008-9-5 13:34 0
willknight 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	willknight 19 楼我也在研究NP，郁闷 QQ:25056248 2008-9-5 13:49 0
HelloCrack 雪币： 215 活跃值： (90) 能力值： ( LV3，RANK：30 ) 在线值：发帖 20 回帖 209 粉丝 1 关注私信	HelloCrack 20 楼我到现在还不知道NP是什么意思 2008-9-6 09:04 0
goodbadboy 雪币： 261 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 32 粉丝 0 关注私信	goodbadboy 21 楼顶一个，据说是什么游戏保护程序 2008-9-6 10:05 0
SkyJack 雪币： 311 活跃值： (124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 67 粉丝 0 关注私信	SkyJack 22 楼 LZ辛苦了... 2008-9-6 14:31 0
baohongyu 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 211 粉丝 0 关注私信	baohongyu 23 楼球蛋蛋好多人研究NP,可是就是不见大老出来指点下... 最新版 1222 抓不到 dmpe_wmimm.sys Hook ZwSetInfomationFile,没能拦到删除这个驱动的动作. 2008-9-26 09:58 0
kimpkok 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	kimpkok 24 楼哇，冒似没多少用捏。。。。。感觉还是很空。截取到数据包没多少用。重要的是跟踪算法，才能破数据包。跟踪算法要反汇编游戏，你拿什么工具反汇编游戏？NP直接把你拦在了任何反汇编工具之外！！！ 2008-9-26 17:41 0
jwasami 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 40 粉丝 0 关注私信	jwasami 25 楼好东西，留名 2008-11-21 23:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复