[原创]手把手教你使用WINDBG KO XXXX游戏驱动保护-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]手把手教你使用WINDBG KO XXXX游戏驱动保护

2008-12-3 10:46 33533

[原创]手把手教你使用WINDBG KO XXXX游戏驱动保护

caierhuan

2008-12-3 10:46

33533

【破文标题】手把手教你使用WINDBG KO XXXX游戏驱动保护
【破文作者】lj8888
【作者邮箱】xxxx@163.com
【作者主页】-
【破解工具】windbg 6.7
【破解平台】D版 XP SP3
【软件名称】
【软件大小】
【原版下载】
【保护方式】
【软件简介】当前正在内测的大型网游
【破解声明】菜鸟提供一点破解验证另类思路。如有失误之处纯属意外! 请高手直接飘过！
------------------------------------------------------------------------
前言：如果你不会写驱动不懂内核没关系今天就有我来手把手教你使用内核调式器WINDBG KO  PerfectProtector.sys

【破解过程】需要工具 windbg 6.7汉化版 RkUnhooker 3.7 （请自行网上下载资源很多）

首先安装后windbg 并运行它与 RkUnhooker （无先后分别）

然后运行神鬼传奇并将它更新到最新版本游戏运行完后停在登陆界面

切换到 RkUnhooker  点 SCAN  向下看我们看到
nt!NtOpenProcess
nt!NtReadVirtualMemory
nt!NtWriteVirtualMemory

01.GIF (48.97 KB)

2008-12-2 23:22

这3个函数显示 YES 表示被HOOK 记下Address地址我们用WINDBG 去看看

好切换到WINDBG 菜单-打开-内核调式-本地的-确定提示是否保存选是

菜单-查看-命令浏览器  我们打入命令 uf 0xaa096314 （我这里的Address 和你的也许不同注意看清楚！！）

02.GIF (116.31 KB)

2008-12-2 23:22

aa096314 PUSH EBP
aa096315 MOV EBP,ESP
aa096317 ADD ESP,-28
aa09631a CALL AA096091
aa09631f JMP SHORT AA09633F

简单浏览 CALL AA096091 非处理函数我们直接入命令 uf AA09633F

aa09633f PUSH AA096321
aa096344 PUSH AA096424
aa096349 PUSH AA0998D7
aa09634e PUSH DWORD PTR FS:[0]
aa096355 MOV FS:[0],ESP
aa09635c MOV DWORD PTR [EBP-4],C0000023
aa096363 MOV DWORD PTR [EBP-C],0
aa09636a CALL AA099D96
aa09636f MOV [EBP-8],EAX
aa096372 CMP DWORD PTR [EBP+8],-1
aa096376 JNZ SHORT AA096384
aa096378 MOV DWORD PTR [EBP-C],-1
aa09637f JMP AA09640B
aa096384 PUSH EDI
aa096385 LEA EDI,[AA09ACC4]
aa09638b MOV ECX,50
aa096390 SHR ECX,2
aa096393 MOV EAX,[EBP-8]
aa096396 CLD
aa096397 REPNE SCAS BYTE PTR ES:[EDI]
aa096398 SCAS DWORD PTR ES:[EDI]
aa096399 POP EDI
aa09639a OR ECX,ECX
aa09639c JE SHORT AA0963A0
aa09639e JMP SHORT AA09640B
aa0963a0 LEA EAX,[EBP-10]
aa0963a3 PUSH EAX
aa0963a4 PUSH 18
aa0963a6 LEA EAX,[EBP-28]
aa0963a9 PUSH EAX
aa0963aa PUSH 0
aa0963ac PUSH DWORD PTR [EBP+8]
aa0963af CALL AA099CF4
aa0963b4 OR EAX,EAX
aa0963b6 JNZ SHORT AA0963C0
aa0963b8 PUSH DWORD PTR [EBP-18]
aa0963bb POP DWORD PTR [EBP-C]
aa0963be JMP SHORT AA0963D2
aa0963c0 PUSH EAX
aa0963c1 PUSH 1
aa0963c3 PUSH 83
aa0963c8 CALL AA093ACB
aa0963cd ADD ESP,C
aa0963d0 JMP SHORT AA09640B
aa0963d2 CMP DWORD PTR [EBP-C],0
aa0963d6 JNZ SHORT AA0963DA
aa0963d8 JMP SHORT AA09640B
aa0963da MOV EAX,[EBP-C]
aa0963dd CMP EAX,[EBP-8]
aa0963e0 JNZ SHORT AA0963E4
aa0963e2 JMP SHORT AA09640B
aa0963e4 PUSH ESI
aa0963e5 MOV EAX,20
aa0963ea SHR EAX,2
aa0963ed MOV ECX,[EBP-C]
aa0963f0 LEA ESI,[AA09C118]
aa0963f6 JMP SHORT AA096400
aa0963f8 CMP [ESI],ECX
aa0963fa JE SHORT AA096404
aa0963fc ADD ESI,4
aa0963ff DEC EAX
aa096400 OR EAX,EAX
aa096402 JNZ SHORT AA0963F8
aa096404 POP ESI
aa096405 OR EAX,EAX
aa096407 JE SHORT AA09640B
aa096409 JMP SHORT AA096424
aa09640b PUSH DWORD PTR [EBP+18]
aa09640e PUSH DWORD PTR [EBP+14]
aa096411 PUSH DWORD PTR [EBP+10]
aa096414 PUSH DWORD PTR [EBP+C]
aa096417 PUSH DWORD PTR [EBP+8]
aa09641a MOV EAX,[AA09AD1C]
aa09641f CALL EAX
aa096421 MOV [EBP-4],EAX
aa096424 MOV EAX,[EBP-4]
aa096427 POP DWORD PTR FS:[0]
aa09642e ADD ESP,C
aa096431 DEC DWORD PTR [AA09ADB8]
aa096437 LEAVE
aa096438 RETN 14

我们简单的上下看了一下  基本结构很清晰 aa09640b 这里开始是nt!NtWriteVirtualMemory 5个参数

aa09641a MOV EAX,[AA09AD1C] 应该指向原始函数地址我们去看看

03.GIF (21.28 KB)

2008-12-2 23:22

菜单-查看-内存在Virtual中打入 AA09AD1C 看到没有如果你看不习惯可以这样选long hex 这样很直观了吧？

04.GIF (24.89 KB)

2008-12-2 23:22

805b5394 就是原始 nt!NtWriteVirtualMemory 函数地址我们记下这个结构

aa09640b PUSH DWORD PTR [EBP+18]
aa09640e PUSH DWORD PTR [EBP+14]
aa096411 PUSH DWORD PTR [EBP+10]
aa096414 PUSH DWORD PTR [EBP+C]
aa096417 PUSH DWORD PTR [EBP+8]
aa09641a MOV EAX,[AA09AD1C]
aa09641f CALL EAX

完美调用原始函数结构现在知道了关键代码下面我们在回到函数头查看

aa096349 PUSH AA0998D7
aa09634e PUSH DWORD PTR FS:[0]
aa096355 MOV FS:[0],ESP
aa09635c MOV DWORD PTR [EBP-4],C0000023 传入参数C0000023
aa096363 MOV DWORD PTR [EBP-C],0       传入参数0
aa09636a CALL AA099D96                初步效验
aa09636f MOV [EBP-8],EAX             返回值赋予局部变量
aa096372 CMP DWORD PTR [EBP+8],-1    比较是否-1也就是 0FFFFFFFFh
aa096376 JNZ SHORT AA096384
aa096378 MOV DWORD PTR [EBP-C],-1

这里我们就直接KO它改写aa09635c执行流程让它直接执行到aa09640b

JMP aa09640b  这个怎么算的目标地址-当前地址-5

好的回到内存窗口打入aa09635c 切换为BYTE 字节查看

打入E9 AA 00 00 00 好的流程被改写了这样这个nt!NtWriteVirtualMemory函数就被KO了

05.GIF (19.03 KB)

2008-12-2 23:22

怎么样是不是很简单？我们继续完成后面个函数  切换 windbg 命令窗口

打入uf 0xaa0961ee 我这里的nt!NtReadVirtualMemory HOOK 地址

aa0961ee PUSH EBP
aa0961ef MOV EBP,ESP
aa0961f1 ADD ESP,-28
aa0961f4 CALL AA096091
aa0961f9 JMP SHORT AA096218

aa096218 PUSH AA0961FB
aa09621d PUSH AA0962FD
aa096222 PUSH AA0998D7
aa096227 PUSH DWORD PTR FS:[0]
aa09622e MOV FS:[0],ESP
aa096235 MOV DWORD PTR [EBP-4],C0000023
aa09623c MOV DWORD PTR [EBP-C],0
aa096243 CALL AA099D96
aa096248 MOV [EBP-8],EAX
aa09624b CMP DWORD PTR [EBP+8],-1
aa09624f JNZ SHORT AA09625D
aa096251 MOV DWORD PTR [EBP-C],-1
aa096258 JMP AA0962E4
aa09625d PUSH EDI
aa09625e LEA EDI,[AA09ACC4]
aa096264 MOV ECX,50
aa096269 SHR ECX,2
aa09626c MOV EAX,[EBP-8]
aa09626f CLD
aa096270 REPNE SCAS BYTE PTR ES:[EDI]
aa096271 SCAS DWORD PTR ES:[EDI]
aa096272 POP EDI
aa096273 OR ECX,ECX
aa096275 JE SHORT AA096279
aa096277 JMP SHORT AA0962E4
aa096279 LEA EAX,[EBP-10]
aa09627c PUSH EAX
aa09627d PUSH 18
aa09627f LEA EAX,[EBP-28]
aa096282 PUSH EAX
aa096283 PUSH 0
aa096285 PUSH DWORD PTR [EBP+8]
aa096288 CALL AA099CF4
aa09628d OR EAX,EAX
aa09628f JNZ SHORT AA096299
aa096291 PUSH DWORD PTR [EBP-18]
aa096294 POP DWORD PTR [EBP-C]
aa096297 JMP SHORT AA0962AB
aa096299 PUSH EAX
aa09629a PUSH 1
aa09629c PUSH 82
aa0962a1 CALL AA093ACB
aa0962a6 ADD ESP,C
aa0962a9 JMP SHORT AA0962E4
aa0962ab CMP DWORD PTR [EBP-C],0
aa0962af JNZ SHORT AA0962B3
aa0962b1 JMP SHORT AA0962E4
aa0962b3 MOV EAX,[EBP-C]
aa0962b6 CMP EAX,[EBP-8]
aa0962b9 JNZ SHORT AA0962BD
aa0962bb JMP SHORT AA0962E4
aa0962bd PUSH ESI
aa0962be MOV EAX,20
aa0962c3 SHR EAX,2
aa0962c6 MOV ECX,[EBP-C]
aa0962c9 LEA ESI,[AA09C118]
aa0962cf JMP SHORT AA0962D9
aa0962d1 CMP [ESI],ECX
aa0962d3 JE SHORT AA0962DD
aa0962d5 ADD ESI,4
aa0962d8 DEC EAX
aa0962d9 OR EAX,EAX
aa0962db JNZ SHORT AA0962D1
aa0962dd POP ESI
aa0962de OR EAX,EAX
aa0962e0 JE SHORT AA0962E4
aa0962e2 JMP SHORT AA0962FD
aa0962e4 PUSH DWORD PTR [EBP+18]
aa0962e7 PUSH DWORD PTR [EBP+14]
aa0962ea PUSH DWORD PTR [EBP+10]
aa0962ed PUSH DWORD PTR [EBP+C]
aa0962f0 PUSH DWORD PTR [EBP+8]
aa0962f3 MOV EAX,[AA09AD18]
aa0962f8 CALL EAX
aa0962fa MOV [EBP-4],EAX
aa0962fd MOV EAX,[EBP-4]
aa096300 POP DWORD PTR FS:[0]
aa096307 ADD ESP,C
aa09630a DEC DWORD PTR [AA09ADB8]
aa096310 LEAVE
aa096311 RETN 14

是不是很眼熟啊？对滴还记的哪个结构不？

aa0962e4 PUSH DWORD PTR [EBP+18]
aa0962e7 PUSH DWORD PTR [EBP+14]
aa0962ea PUSH DWORD PTR [EBP+10]
aa0962ed PUSH DWORD PTR [EBP+C]
aa0962f0 PUSH DWORD PTR [EBP+8]
aa0962f3 MOV EAX,[AA09AD18]
aa0962f8 CALL EAX

这里也和上面一样的操作我就直接说结果了改写 aa096235 JMPaa0962e4

在内存窗口打入打入E9 AA 00 00 00 （连偏移都一样汗一个）

打入uf 0xaa096098 我这里的nt!NtOpenProcess HOOK 地址

aa096098 PUSH EBP
aa096099 MOV EBP,ESP
aa09609b ADD ESP,-30
aa09609e CALL AA096091
aa0960a3 JMP SHORT AA0960BC

aa0960bc PUSH AA0960A5
aa0960c1 PUSH AA0961D7
aa0960c6 PUSH AA0998D7
aa0960cb PUSH DWORD PTR FS:[0]
aa0960d2 MOV FS:[0],ESP
aa0960d9 PUSH DWORD PTR [EBP+14]
aa0960dc PUSH DWORD PTR [EBP+10]
aa0960df PUSH DWORD PTR [EBP+C]
aa0960e2 PUSH DWORD PTR [EBP+8]
aa0960e5 MOV EAX,[AA09AD14]
aa0960ea CALL EAX
aa0960ec MOV [EBP-8],EAX
aa0960ef OR EAX,EAX
aa0960f1 JE SHORT AA0960F8
aa0960f3 JMP AA0961D7
aa0960f8 PUSH ECX
aa0960f9 MOV ECX,[EBP+C]
aa0960fc AND ECX,30
aa0960ff OR ECX,ECX
aa096101 JNZ SHORT AA096109
aa096103 POP ECX
aa096104 JMP AA0961D7
aa096109 POP ECX
aa09610a CALL AA099D96
aa09610f MOV [EBP-C],EAX
aa096112 PUSH EDI
aa096113 LEA EDI,[AA09ACC4]
aa096119 MOV ECX,50
aa09611e SHR ECX,2
aa096121 MOV EAX,[EBP-C]
aa096124 CLD
aa096125 REPNE SCAS BYTE PTR ES:[EDI]
aa096126 SCAS DWORD PTR ES:[EDI]
aa096127 POP EDI
aa096128 OR ECX,ECX
aa09612a JE SHORT AA096131
aa09612c JMP AA0961D7
aa096131 MOV EAX,[EBP+14]
aa096134 OR EAX,EAX
aa096136 JE SHORT AA09613F
aa096138 MOV EAX,[EAX]
aa09613a MOV [EBP-10],EAX
aa09613d JMP SHORT AA096146
aa09613f MOV DWORD PTR [EBP-10],0
aa096146 CMP DWORD PTR [EBP-10],0
aa09614a JNZ SHORT AA09618E
aa09614c MOV EAX,[EBP+8]
aa09614f PUSH DWORD PTR [EAX]
aa096151 POP DWORD PTR [EBP-4]
aa096154 LEA EAX,[EBP-14]
aa096157 PUSH EAX
aa096158 PUSH 18
aa09615a LEA EAX,[EBP-30]
aa09615d PUSH EAX
aa09615e PUSH 0
aa096160 PUSH DWORD PTR [EBP-4]
aa096163 CALL AA099CF4
aa096168 OR EAX,EAX
aa09616a JNZ SHORT AA096174
aa09616c PUSH DWORD PTR [EBP-20]
aa09616f POP DWORD PTR [EBP-10]
aa096172 JMP SHORT AA096186
aa096174 PUSH EAX
aa096175 PUSH 1
aa096177 PUSH 81
aa09617c CALL AA093ACB
aa096181 ADD ESP,C
aa096184 JMP SHORT AA0961D7
aa096186 CMP DWORD PTR [EBP-10],0
aa09618a JNZ SHORT AA09618E
aa09618c JMP SHORT AA0961D7
aa09618e MOV EAX,[EBP-10]
aa096191 CMP EAX,[EBP-C]
aa096194 JNZ SHORT AA096198
aa096196 JMP SHORT AA0961D7
aa096198 PUSH ESI
aa096199 MOV EAX,20
aa09619e SHR EAX,2
aa0961a1 MOV ECX,[EBP-10]
aa0961a4 LEA ESI,[AA09C118]
aa0961aa JMP SHORT AA0961B4
aa0961ac CMP [ESI],ECX
aa0961ae JE SHORT AA0961B8
aa0961b0 ADD ESI,4
aa0961b3 DEC EAX
aa0961b4 OR EAX,EAX
aa0961b6 JNZ SHORT AA0961AC
aa0961b8 POP ESI
aa0961b9 OR EAX,EAX
aa0961bb JE SHORT AA0961D7
aa0961bd PUSH DWORD PTR [EBP-4]
aa0961c0 CALL AA099DAE
aa0961c5 MOV EAX,[EBP+8]
aa0961c8 MOV DWORD PTR [EAX],0
aa0961ce MOV DWORD PTR [EBP-8],C000000D
aa0961d5 JMP SHORT AA0961D7
aa0961d7 MOV EAX,[EBP-8]
aa0961da POP DWORD PTR FS:[0]
aa0961e1 ADD ESP,C
aa0961e4 DEC DWORD PTR [AA09ADB8]
aa0961ea LEAVE
aa0961eb RETN 10

这个函数有点不一样哦我们抓住它的结构不放

aa0960d9 PUSH DWORD PTR [EBP+14]
aa0960dc PUSH DWORD PTR [EBP+10]
aa0960df PUSH DWORD PTR [EBP+C]
aa0960e2 PUSH DWORD PTR [EBP+8]
aa0960e5 MOV EAX,[AA09AD14]
aa0960ea CALL EAX

nt!NtOpenProcess 的4个参数吻合

aa0960ec MOV [EBP-8],EAX
aa0960ef OR EAX,EAX
aa0960f1 JE SHORT AA0960F8
aa0960f3 JMP AA0961D7

简单分析下返回值保存在变量然后或运算想等继续处理我们查看 aa0960f3 JMP AA0961D7

不相等是如何处理

aa0961d7 MOV EAX,[EBP-8]
aa0961da POP DWORD PTR FS:[0]
aa0961e1 ADD ESP,C
aa0961e4 DEC DWORD PTR [AA09ADB8]
aa0961ea LEAVE
aa0961eb RETN 10

取出返回值过场这样就完了？那很明显直接KO aa0960f1 2个 90 （NOP）解决

到这里驱动保护 3个函数已经被 KO了  我们可以直接读写他的内存了 ^_^

本次教程结束谢谢观看
------------------------------------------------------------------------
【破解总结】怀念一下混于ICY群内的日子

内核操作请注意保存资料避免死机蓝屏损失

不懂的看个流程懂的看个思路

------------------------------------------------------------------------
【版权声明】
欢迎盗版！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

收藏・48

点赞・0

打赏

最新回复 (38) 1 2 ▶
兽兵雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	兽兵 2008-12-3 10:51 2 楼 0 【破文标题】手把手教你使用WINDBG KO XXXX游戏驱动保护【破文作者】lj8888 【作者邮箱】xxxx@163.com 【作者主页】- 【破解工具】windbg 6.7 【破解平台】D版 XP SP3 【软件名称】【软件大小】【原版下载】【保护方式】【软件简介】当前正在内测的大型网游【破解声明】菜鸟提供一点破解验证另类思路。如有失误之处纯属意外! 请高手直接飘过！ ------------------------------------------------------------------------ 前言：如果你不会写驱动不懂内核没关系今天就有我来手把手教你使用内核调式器WINDBG KO PerfectProtector.sys 【破解过程】需要工具 windbg 6.7汉化版 RkUnhooker 3.7 （请自行网上下载资源很多）首先安装后windbg 并运行它与 RkUnhooker （无先后分别）然后运行神鬼传奇并将它更新到最新版本游戏运行完后停在登陆界面切换到 RkUnhooker 点 SCAN 向下看我们看到 nt!NtOpenProcess nt!NtReadVirtualMemory nt!NtWriteVirtualMemory 01.GIF (48.97 KB) 2008-12-2 23:22 这3个函数显示 YES 表示被HOOK 记下Address地址我们用WINDBG 去看看好切换到WINDBG 菜单-打开-内核调式-本地的-确定提示是否保存选是菜单-查看-命令浏览器我们打入命令 uf 0xaa096314 （我这里的Address 和你的也许不同注意看清楚！！） 02.GIF (116.31 KB) 2008-12-2 23:22 aa096314 PUSH EBP aa096315 MOV EBP,ESP aa096317 ADD ESP,-28 aa09631a CALL AA096091 aa09631f JMP SHORT AA09633F 简单浏览 CALL AA096091 非处理函数我们直接入命令 uf AA09633F aa09633f PUSH AA096321 aa096344 PUSH AA096424 aa096349 PUSH AA0998D7 aa09634e PUSH DWORD PTR FS:[0] aa096355 MOV FS:[0],ESP aa09635c MOV DWORD PTR [EBP-4],C0000023 aa096363 MOV DWORD PTR [EBP-C],0 aa09636a CALL AA099D96 aa09636f MOV [EBP-8],EAX aa096372 CMP DWORD PTR [EBP+8],-1 aa096376 JNZ SHORT AA096384 aa096378 MOV DWORD PTR [EBP-C],-1 aa09637f JMP AA09640B aa096384 PUSH EDI aa096385 LEA EDI,[AA09ACC4] aa09638b MOV ECX,50 aa096390 SHR ECX,2 aa096393 MOV EAX,[EBP-8] aa096396 CLD aa096397 REPNE SCAS BYTE PTR ES:[EDI] aa096398 SCAS DWORD PTR ES:[EDI] aa096399 POP EDI aa09639a OR ECX,ECX aa09639c JE SHORT AA0963A0 aa09639e JMP SHORT AA09640B aa0963a0 LEA EAX,[EBP-10] aa0963a3 PUSH EAX aa0963a4 PUSH 18 aa0963a6 LEA EAX,[EBP-28] aa0963a9 PUSH EAX aa0963aa PUSH 0 aa0963ac PUSH DWORD PTR [EBP+8] aa0963af CALL AA099CF4 aa0963b4 OR EAX,EAX aa0963b6 JNZ SHORT AA0963C0 aa0963b8 PUSH DWORD PTR [EBP-18] aa0963bb POP DWORD PTR [EBP-C] aa0963be JMP SHORT AA0963D2 aa0963c0 PUSH EAX aa0963c1 PUSH 1 aa0963c3 PUSH 83 aa0963c8 CALL AA093ACB aa0963cd ADD ESP,C aa0963d0 JMP SHORT AA09640B aa0963d2 CMP DWORD PTR [EBP-C],0 aa0963d6 JNZ SHORT AA0963DA aa0963d8 JMP SHORT AA09640B aa0963da MOV EAX,[EBP-C] aa0963dd CMP EAX,[EBP-8] aa0963e0 JNZ SHORT AA0963E4 aa0963e2 JMP SHORT AA09640B aa0963e4 PUSH ESI aa0963e5 MOV EAX,20 aa0963ea SHR EAX,2 aa0963ed MOV ECX,[EBP-C] aa0963f0 LEA ESI,[AA09C118] aa0963f6 JMP SHORT AA096400 aa0963f8 CMP [ESI],ECX aa0963fa JE SHORT AA096404 aa0963fc ADD ESI,4 aa0963ff DEC EAX aa096400 OR EAX,EAX aa096402 JNZ SHORT AA0963F8 aa096404 POP ESI aa096405 OR EAX,EAX aa096407 JE SHORT AA09640B aa096409 JMP SHORT AA096424 aa09640b PUSH DWORD PTR [EBP+18] aa09640e PUSH DWORD PTR [EBP+14] aa096411 PUSH DWORD PTR [EBP+10] aa096414 PUSH DWORD PTR [EBP+C] aa096417 PUSH DWORD PTR [EBP+8] aa09641a MOV EAX,[AA09AD1C] aa09641f CALL EAX aa096421 MOV [EBP-4],EAX aa096424 MOV EAX,[EBP-4] aa096427 POP DWORD PTR FS:[0] aa09642e ADD ESP,C aa096431 DEC DWORD PTR [AA09ADB8] aa096437 LEAVE aa096438 RETN 14 我们简单的上下看了一下基本结构很清晰 aa09640b 这里开始是nt!NtWriteVirtualMemory 5个参数 aa09641a MOV EAX,[AA09AD1C] 应该指向原始函数地址我们去看看 03.GIF (21.28 KB) 2008-12-2 23:22 菜单-查看-内存在Virtual中打入 AA09AD1C 看到没有如果你看不习惯可以这样选long hex 这样很直观了吧？ 04.GIF (24.89 KB) 2008-12-2 23:22 805b5394 就是原始 nt!NtWriteVirtualMemory 函数地址我们记下这个结构 aa09640b PUSH DWORD PTR [EBP+18] aa09640e PUSH DWORD PTR [EBP+14] aa096411 PUSH DWORD PTR [EBP+10] aa096414 PUSH DWORD PTR [EBP+C] aa096417 PUSH DWORD PTR [EBP+8] aa09641a MOV EAX,[AA09AD1C] aa09641f CALL EAX 完美调用原始函数结构现在知道了关键代码下面我们在回到函数头查看 aa096349 PUSH AA0998D7 aa09634e PUSH DWORD PTR FS:[0] aa096355 MOV FS:[0],ESP aa09635c MOV DWORD PTR [EBP-4],C0000023 传入参数C0000023 aa096363 MOV DWORD PTR [EBP-C],0 传入参数0 aa09636a CALL AA099D96 初步效验 aa09636f MOV [EBP-8],EAX 返回值赋予局部变量 aa096372 CMP DWORD PTR [EBP+8],-1 比较是否-1也就是 0FFFFFFFFh aa096376 JNZ SHORT AA096384 aa096378 MOV DWORD PTR [EBP-C],-1 这里我们就直接KO它改写aa09635c执行流程让它直接执行到aa09640b JMP aa09640b 这个怎么算的目标地址-当前地址-5 好的回到内存窗口打入aa09635c 切换为BYTE 字节查看打入E9 AA 00 00 00 好的流程被改写了这样这个nt!NtWriteVirtualMemory函数就被KO了 05.GIF (19.03 KB) 2008-12-2 23:22 怎么样是不是很简单？我们继续完成后面个函数切换 windbg 命令窗口打入uf 0xaa0961ee 我这里的nt!NtReadVirtualMemory HOOK 地址 aa0961ee PUSH EBP aa0961ef MOV EBP,ESP aa0961f1 ADD ESP,-28 aa0961f4 CALL AA096091 aa0961f9 JMP SHORT AA096218 aa096218 PUSH AA0961FB aa09621d PUSH AA0962FD aa096222 PUSH AA0998D7 aa096227 PUSH DWORD PTR FS:[0] aa09622e MOV FS:[0],ESP aa096235 MOV DWORD PTR [EBP-4],C0000023 aa09623c MOV DWORD PTR [EBP-C],0 aa096243 CALL AA099D96 aa096248 MOV [EBP-8],EAX aa09624b CMP DWORD PTR [EBP+8],-1 aa09624f JNZ SHORT AA09625D aa096251 MOV DWORD PTR [EBP-C],-1 aa096258 JMP AA0962E4 aa09625d PUSH EDI aa09625e LEA EDI,[AA09ACC4] aa096264 MOV ECX,50 aa096269 SHR ECX,2 aa09626c MOV EAX,[EBP-8] aa09626f CLD aa096270 REPNE SCAS BYTE PTR ES:[EDI] aa096271 SCAS DWORD PTR ES:[EDI] aa096272 POP EDI aa096273 OR ECX,ECX aa096275 JE SHORT AA096279 aa096277 JMP SHORT AA0962E4 aa096279 LEA EAX,[EBP-10] aa09627c PUSH EAX aa09627d PUSH 18 aa09627f LEA EAX,[EBP-28] aa096282 PUSH EAX aa096283 PUSH 0 aa096285 PUSH DWORD PTR [EBP+8] aa096288 CALL AA099CF4 aa09628d OR EAX,EAX aa09628f JNZ SHORT AA096299 aa096291 PUSH DWORD PTR [EBP-18] aa096294 POP DWORD PTR [EBP-C] aa096297 JMP SHORT AA0962AB aa096299 PUSH EAX aa09629a PUSH 1 aa09629c PUSH 82 aa0962a1 CALL AA093ACB aa0962a6 ADD ESP,C aa0962a9 JMP SHORT AA0962E4 aa0962ab CMP DWORD PTR [EBP-C],0 aa0962af JNZ SHORT AA0962B3 aa0962b1 JMP SHORT AA0962E4 aa0962b3 MOV EAX,[EBP-C] aa0962b6 CMP EAX,[EBP-8] aa0962b9 JNZ SHORT AA0962BD aa0962bb JMP SHORT AA0962E4 aa0962bd PUSH ESI aa0962be MOV EAX,20 aa0962c3 SHR EAX,2 aa0962c6 MOV ECX,[EBP-C] aa0962c9 LEA ESI,[AA09C118] aa0962cf JMP SHORT AA0962D9 aa0962d1 CMP [ESI],ECX aa0962d3 JE SHORT AA0962DD aa0962d5 ADD ESI,4 aa0962d8 DEC EAX aa0962d9 OR EAX,EAX aa0962db JNZ SHORT AA0962D1 aa0962dd POP ESI aa0962de OR EAX,EAX aa0962e0 JE SHORT AA0962E4 aa0962e2 JMP SHORT AA0962FD aa0962e4 PUSH DWORD PTR [EBP+18] aa0962e7 PUSH DWORD PTR [EBP+14] aa0962ea PUSH DWORD PTR [EBP+10] aa0962ed PUSH DWORD PTR [EBP+C] aa0962f0 PUSH DWORD PTR [EBP+8] aa0962f3 MOV EAX,[AA09AD18] aa0962f8 CALL EAX aa0962fa MOV [EBP-4],EAX aa0962fd MOV EAX,[EBP-4] aa096300 POP DWORD PTR FS:[0] aa096307 ADD ESP,C aa09630a DEC DWORD PTR [AA09ADB8] aa096310 LEAVE aa096311 RETN 14 是不是很眼熟啊？对滴还记的哪个结构不？ aa0962e4 PUSH DWORD PTR [EBP+18] aa0962e7 PUSH DWORD PTR [EBP+14] aa0962ea PUSH DWORD PTR [EBP+10] aa0962ed PUSH DWORD PTR [EBP+C] aa0962f0 PUSH DWORD PTR [EBP+8] aa0962f3 MOV EAX,[AA09AD18] aa0962f8 CALL EAX 这里也和上面一样的操作我就直接说结果了改写 aa096235 JMPaa0962e4 在内存窗口打入打入E9 AA 00 00 00 （连偏移都一样汗一个）打入uf 0xaa096098 我这里的nt!NtOpenProcess HOOK 地址 aa096098 PUSH EBP aa096099 MOV EBP,ESP aa09609b ADD ESP,-30 aa09609e CALL AA096091 aa0960a3 JMP SHORT AA0960BC aa0960bc PUSH AA0960A5 aa0960c1 PUSH AA0961D7 aa0960c6 PUSH AA0998D7 aa0960cb PUSH DWORD PTR FS:[0] aa0960d2 MOV FS:[0],ESP aa0960d9 PUSH DWORD PTR [EBP+14] aa0960dc PUSH DWORD PTR [EBP+10] aa0960df PUSH DWORD PTR [EBP+C] aa0960e2 PUSH DWORD PTR [EBP+8] aa0960e5 MOV EAX,[AA09AD14] aa0960ea CALL EAX aa0960ec MOV [EBP-8],EAX aa0960ef OR EAX,EAX aa0960f1 JE SHORT AA0960F8 aa0960f3 JMP AA0961D7 aa0960f8 PUSH ECX aa0960f9 MOV ECX,[EBP+C] aa0960fc AND ECX,30 aa0960ff OR ECX,ECX aa096101 JNZ SHORT AA096109 aa096103 POP ECX aa096104 JMP AA0961D7 aa096109 POP ECX aa09610a CALL AA099D96 aa09610f MOV [EBP-C],EAX aa096112 PUSH EDI aa096113 LEA EDI,[AA09ACC4] aa096119 MOV ECX,50 aa09611e SHR ECX,2 aa096121 MOV EAX,[EBP-C] aa096124 CLD aa096125 REPNE SCAS BYTE PTR ES:[EDI] aa096126 SCAS DWORD PTR ES:[EDI] aa096127 POP EDI aa096128 OR ECX,ECX aa09612a JE SHORT AA096131 aa09612c JMP AA0961D7 aa096131 MOV EAX,[EBP+14] aa096134 OR EAX,EAX aa096136 JE SHORT AA09613F aa096138 MOV EAX,[EAX] aa09613a MOV [EBP-10],EAX aa09613d JMP SHORT AA096146 aa09613f MOV DWORD PTR [EBP-10],0 aa096146 CMP DWORD PTR [EBP-10],0 aa09614a JNZ SHORT AA09618E aa09614c MOV EAX,[EBP+8] aa09614f PUSH DWORD PTR [EAX] aa096151 POP DWORD PTR [EBP-4] aa096154 LEA EAX,[EBP-14] aa096157 PUSH EAX aa096158 PUSH 18 aa09615a LEA EAX,[EBP-30] aa09615d PUSH EAX aa09615e PUSH 0 aa096160 PUSH DWORD PTR [EBP-4] aa096163 CALL AA099CF4 aa096168 OR EAX,EAX aa09616a JNZ SHORT AA096174 aa09616c PUSH DWORD PTR [EBP-20] aa09616f POP DWORD PTR [EBP-10] aa096172 JMP SHORT AA096186 aa096174 PUSH EAX aa096175 PUSH 1 aa096177 PUSH 81 aa09617c CALL AA093ACB aa096181 ADD ESP,C aa096184 JMP SHORT AA0961D7 aa096186 CMP DWORD PTR [EBP-10],0 aa09618a JNZ SHORT AA09618E aa09618c JMP SHORT AA0961D7 aa09618e MOV EAX,[EBP-10] aa096191 CMP EAX,[EBP-C] aa096194 JNZ SHORT AA096198 aa096196 JMP SHORT AA0961D7 aa096198 PUSH ESI aa096199 MOV EAX,20 aa09619e SHR EAX,2 aa0961a1 MOV ECX,[EBP-10] aa0961a4 LEA ESI,[AA09C118] aa0961aa JMP SHORT AA0961B4 aa0961ac CMP [ESI],ECX aa0961ae JE SHORT AA0961B8 aa0961b0 ADD ESI,4 aa0961b3 DEC EAX aa0961b4 OR EAX,EAX aa0961b6 JNZ SHORT AA0961AC aa0961b8 POP ESI aa0961b9 OR EAX,EAX aa0961bb JE SHORT AA0961D7 aa0961bd PUSH DWORD PTR [EBP-4] aa0961c0 CALL AA099DAE aa0961c5 MOV EAX,[EBP+8] aa0961c8 MOV DWORD PTR [EAX],0 aa0961ce MOV DWORD PTR [EBP-8],C000000D aa0961d5 JMP SHORT AA0961D7 aa0961d7 MOV EAX,[EBP-8] aa0961da POP DWORD PTR FS:[0] aa0961e1 ADD ESP,C aa0961e4 DEC DWORD PTR [AA09ADB8] aa0961ea LEAVE aa0961eb RETN 10 这个函数有点不一样哦我们抓住它的结构不放 aa0960d9 PUSH DWORD PTR [EBP+14] aa0960dc PUSH DWORD PTR [EBP+10] aa0960df PUSH DWORD PTR [EBP+C] aa0960e2 PUSH DWORD PTR [EBP+8] aa0960e5 MOV EAX,[AA09AD14] aa0960ea CALL EAX nt!NtOpenProcess 的4个参数吻合 aa0960ec MOV [EBP-8],EAX aa0960ef OR EAX,EAX aa0960f1 JE SHORT AA0960F8 aa0960f3 JMP AA0961D7 简单分析下返回值保存在变量然后或运算想等继续处理我们查看 aa0960f3 JMP AA0961D7 不相等是如何处理 aa0961d7 MOV EAX,[EBP-8] aa0961da POP DWORD PTR FS:[0] aa0961e1 ADD ESP,C aa0961e4 DEC DWORD PTR [AA09ADB8] aa0961ea LEAVE aa0961eb RETN 10 取出返回值过场这样就完了？那很明显直接KO aa0960f1 2个 90 （NOP）解决到这里驱动保护 3个函数已经被 KO了我们可以直接读写他的内存了 ^_^ 本次教程结束谢谢观看
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2008-12-3 10:58 3 楼 0 完美的就这么点内容？ PerfectProtector.sys这个名字看上去就很厉害啊
caierhuan 雪币： 279 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	caierhuan 2008-12-3 11:04 4 楼 0 谢谢大牛回复倍感荣幸还有 int 1 与 int 3 反调式需要恢复这个米说
zhangshuo 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	zhangshuo 2008-12-3 13:25 5 楼 0 BS一下你广海都不发
caierhuan 雪币： 279 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	caierhuan 2008-12-3 14:00 6 楼 0 2006年注册看雪滴水之恩不敢忘记学于看雪发在看雪其实根本就没什么技术高手不屑说我等菜鸟又搞不懂偶有1点心得不敢独享发来分享下如此而已
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2008-12-3 14:25 7 楼 0 完美的驱动目前还很简陋。主要是没有对自身的效验。相信过段时间会升级的
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2008-12-3 15:36 8 楼 0 很大，有1M，很强大
yanzhuhua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	yanzhuhua 2008-12-4 13:17 9 楼 0 "这里我们就直接KO它改写aa09635c执行流程让它直接执行到aa09640b " aa09640b 怎么改成aa09635c,直接输入不行呢 [s:50] [s:50]
caiyangan 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	caiyangan 2008-12-4 16:23 10 楼 0 楼主我在膜拜你的文章
HamiltonLi 雪币： 311 活跃值： (291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 51 粉丝 1 关注私信	HamiltonLi 2008-12-4 16:54 11 楼 0 不错，学习了一下！
moodsky 雪币： 208 活跃值： (371) 能力值： ( LV12，RANK：330 ) 在线值：发帖 22 回帖 238 粉丝 1 关注私信	moodsky 8 2008-12-5 09:14 12 楼 0 写这个PerfectProtector.sys的人该下岗了，不过图片都那里去了？
星星人雪币： 1076 活跃值： (1373) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 23 粉丝 77 关注私信	星星人 2008-12-5 10:43 13 楼 0 老大，能把这个也说一下该如何恢复好吗？谢谢
mutout 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	mutout 2008-12-8 20:43 14 楼 0 不错，学习了一下！
youngyears 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	youngyears 2008-12-9 19:46 15 楼 0 新手学习中．．．．
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 48 回帖 1176 粉丝 22 关注私信	qihoocom 9 2008-12-10 02:39 16 楼 0 都写访问内核内存了，上驱动了，还有什么好KO，好写文章的，无聊
梧桐雪币： 236 活跃值： (13) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	梧桐 1 2008-12-10 14:31 17 楼 0 怀疑LS是MJ的马甲
雪的思念雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 0 关注私信	雪的思念 2008-12-11 20:26 18 楼 0 没有看的很明白，先谢LZ，占个位置慢慢地琢磨去了
kccp 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	kccp 2008-12-18 20:26 19 楼 0 同问
jwasami 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 40 粉丝 0 关注私信	jwasami 2008-12-19 17:38 20 楼 0 好文要支持啊！！！！
appben 雪币： 213 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 124 粉丝 0 关注私信	appben 2008-12-20 05:48 21 楼 0 那个把图片给吃了呢?
hcaihao 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 32 粉丝 0 关注私信	hcaihao 2008-12-21 19:59 22 楼 0 怎样恢复int断点呢？
iamatig 雪币： 137 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 81 粉丝 0 关注私信	iamatig 2008-12-27 18:13 23 楼 0 2003下说“系统不支持本地内核调试”，上网搜索了半天，居然没有？请问是怎么回事？请看图,非得XP才行吗？2003下有其它办法吗？上传的附件：未命名.JPG （16.03kb，782次下载）
DiKeN 雪币： 1126 活跃值： (156) 能力值： ( LV9，RANK：210 ) 在线值：发帖 28 回帖 189 粉丝 5 关注私信	DiKeN 5 2008-12-31 22:58 24 楼 0 INT1,INT3,INT22也都被替换了。并在应用层使用他们与驱动进行通信，可能与反外挂封包结合运算了.
myliliyi 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	myliliyi 2009-1-2 22:23 25 楼 0 学习了~~~强大!!!
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

caierhuan

发帖

回帖

RANK

关注

私信

他的文章

[讨论]浅谈安全软件主动防御框架的构建

已经解决 [求助]ObOpenObjectByName 调用失败

[求助] 内核中如何准确的区分文件和文件夹创建和打开或是文件是否存在

[原创]丢一个垃圾代码的驱动防火墙源码

[求助]请教大侠为什么同一份驱动在不同的系统会蓝屏（没有任何处理代码 SSDT HOOK）（问题解决）

关于我们

联系我们

企业服务

看雪公众号

最新回复 (38) 1 2 ▶
兽兵雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 27 粉丝 0 关注私信	兽兵 2008-12-3 10:51 2 楼 0 【破文标题】手把手教你使用WINDBG KO XXXX游戏驱动保护【破文作者】lj8888 【作者邮箱】xxxx@163.com 【作者主页】- 【破解工具】windbg 6.7 【破解平台】D版 XP SP3 【软件名称】【软件大小】【原版下载】【保护方式】【软件简介】当前正在内测的大型网游【破解声明】菜鸟提供一点破解验证另类思路。如有失误之处纯属意外! 请高手直接飘过！ ------------------------------------------------------------------------ 前言：如果你不会写驱动不懂内核没关系今天就有我来手把手教你使用内核调式器WINDBG KO PerfectProtector.sys 【破解过程】需要工具 windbg 6.7汉化版 RkUnhooker 3.7 （请自行网上下载资源很多）首先安装后windbg 并运行它与 RkUnhooker （无先后分别）然后运行神鬼传奇并将它更新到最新版本游戏运行完后停在登陆界面切换到 RkUnhooker 点 SCAN 向下看我们看到 nt!NtOpenProcess nt!NtReadVirtualMemory nt!NtWriteVirtualMemory 01.GIF (48.97 KB) 2008-12-2 23:22 这3个函数显示 YES 表示被HOOK 记下Address地址我们用WINDBG 去看看好切换到WINDBG 菜单-打开-内核调式-本地的-确定提示是否保存选是菜单-查看-命令浏览器我们打入命令 uf 0xaa096314 （我这里的Address 和你的也许不同注意看清楚！！） 02.GIF (116.31 KB) 2008-12-2 23:22 aa096314 PUSH EBP aa096315 MOV EBP,ESP aa096317 ADD ESP,-28 aa09631a CALL AA096091 aa09631f JMP SHORT AA09633F 简单浏览 CALL AA096091 非处理函数我们直接入命令 uf AA09633F aa09633f PUSH AA096321 aa096344 PUSH AA096424 aa096349 PUSH AA0998D7 aa09634e PUSH DWORD PTR FS:[0] aa096355 MOV FS:[0],ESP aa09635c MOV DWORD PTR [EBP-4],C0000023 aa096363 MOV DWORD PTR [EBP-C],0 aa09636a CALL AA099D96 aa09636f MOV [EBP-8],EAX aa096372 CMP DWORD PTR [EBP+8],-1 aa096376 JNZ SHORT AA096384 aa096378 MOV DWORD PTR [EBP-C],-1 aa09637f JMP AA09640B aa096384 PUSH EDI aa096385 LEA EDI,[AA09ACC4] aa09638b MOV ECX,50 aa096390 SHR ECX,2 aa096393 MOV EAX,[EBP-8] aa096396 CLD aa096397 REPNE SCAS BYTE PTR ES:[EDI] aa096398 SCAS DWORD PTR ES:[EDI] aa096399 POP EDI aa09639a OR ECX,ECX aa09639c JE SHORT AA0963A0 aa09639e JMP SHORT AA09640B aa0963a0 LEA EAX,[EBP-10] aa0963a3 PUSH EAX aa0963a4 PUSH 18 aa0963a6 LEA EAX,[EBP-28] aa0963a9 PUSH EAX aa0963aa PUSH 0 aa0963ac PUSH DWORD PTR [EBP+8] aa0963af CALL AA099CF4 aa0963b4 OR EAX,EAX aa0963b6 JNZ SHORT AA0963C0 aa0963b8 PUSH DWORD PTR [EBP-18] aa0963bb POP DWORD PTR [EBP-C] aa0963be JMP SHORT AA0963D2 aa0963c0 PUSH EAX aa0963c1 PUSH 1 aa0963c3 PUSH 83 aa0963c8 CALL AA093ACB aa0963cd ADD ESP,C aa0963d0 JMP SHORT AA09640B aa0963d2 CMP DWORD PTR [EBP-C],0 aa0963d6 JNZ SHORT AA0963DA aa0963d8 JMP SHORT AA09640B aa0963da MOV EAX,[EBP-C] aa0963dd CMP EAX,[EBP-8] aa0963e0 JNZ SHORT AA0963E4 aa0963e2 JMP SHORT AA09640B aa0963e4 PUSH ESI aa0963e5 MOV EAX,20 aa0963ea SHR EAX,2 aa0963ed MOV ECX,[EBP-C] aa0963f0 LEA ESI,[AA09C118] aa0963f6 JMP SHORT AA096400 aa0963f8 CMP [ESI],ECX aa0963fa JE SHORT AA096404 aa0963fc ADD ESI,4 aa0963ff DEC EAX aa096400 OR EAX,EAX aa096402 JNZ SHORT AA0963F8 aa096404 POP ESI aa096405 OR EAX,EAX aa096407 JE SHORT AA09640B aa096409 JMP SHORT AA096424 aa09640b PUSH DWORD PTR [EBP+18] aa09640e PUSH DWORD PTR [EBP+14] aa096411 PUSH DWORD PTR [EBP+10] aa096414 PUSH DWORD PTR [EBP+C] aa096417 PUSH DWORD PTR [EBP+8] aa09641a MOV EAX,[AA09AD1C] aa09641f CALL EAX aa096421 MOV [EBP-4],EAX aa096424 MOV EAX,[EBP-4] aa096427 POP DWORD PTR FS:[0] aa09642e ADD ESP,C aa096431 DEC DWORD PTR [AA09ADB8] aa096437 LEAVE aa096438 RETN 14 我们简单的上下看了一下基本结构很清晰 aa09640b 这里开始是nt!NtWriteVirtualMemory 5个参数 aa09641a MOV EAX,[AA09AD1C] 应该指向原始函数地址我们去看看 03.GIF (21.28 KB) 2008-12-2 23:22 菜单-查看-内存在Virtual中打入 AA09AD1C 看到没有如果你看不习惯可以这样选long hex 这样很直观了吧？ 04.GIF (24.89 KB) 2008-12-2 23:22 805b5394 就是原始 nt!NtWriteVirtualMemory 函数地址我们记下这个结构 aa09640b PUSH DWORD PTR [EBP+18] aa09640e PUSH DWORD PTR [EBP+14] aa096411 PUSH DWORD PTR [EBP+10] aa096414 PUSH DWORD PTR [EBP+C] aa096417 PUSH DWORD PTR [EBP+8] aa09641a MOV EAX,[AA09AD1C] aa09641f CALL EAX 完美调用原始函数结构现在知道了关键代码下面我们在回到函数头查看 aa096349 PUSH AA0998D7 aa09634e PUSH DWORD PTR FS:[0] aa096355 MOV FS:[0],ESP aa09635c MOV DWORD PTR [EBP-4],C0000023 传入参数C0000023 aa096363 MOV DWORD PTR [EBP-C],0 传入参数0 aa09636a CALL AA099D96 初步效验 aa09636f MOV [EBP-8],EAX 返回值赋予局部变量 aa096372 CMP DWORD PTR [EBP+8],-1 比较是否-1也就是 0FFFFFFFFh aa096376 JNZ SHORT AA096384 aa096378 MOV DWORD PTR [EBP-C],-1 这里我们就直接KO它改写aa09635c执行流程让它直接执行到aa09640b JMP aa09640b 这个怎么算的目标地址-当前地址-5 好的回到内存窗口打入aa09635c 切换为BYTE 字节查看打入E9 AA 00 00 00 好的流程被改写了这样这个nt!NtWriteVirtualMemory函数就被KO了 05.GIF (19.03 KB) 2008-12-2 23:22 怎么样是不是很简单？我们继续完成后面个函数切换 windbg 命令窗口打入uf 0xaa0961ee 我这里的nt!NtReadVirtualMemory HOOK 地址 aa0961ee PUSH EBP aa0961ef MOV EBP,ESP aa0961f1 ADD ESP,-28 aa0961f4 CALL AA096091 aa0961f9 JMP SHORT AA096218 aa096218 PUSH AA0961FB aa09621d PUSH AA0962FD aa096222 PUSH AA0998D7 aa096227 PUSH DWORD PTR FS:[0] aa09622e MOV FS:[0],ESP aa096235 MOV DWORD PTR [EBP-4],C0000023 aa09623c MOV DWORD PTR [EBP-C],0 aa096243 CALL AA099D96 aa096248 MOV [EBP-8],EAX aa09624b CMP DWORD PTR [EBP+8],-1 aa09624f JNZ SHORT AA09625D aa096251 MOV DWORD PTR [EBP-C],-1 aa096258 JMP AA0962E4 aa09625d PUSH EDI aa09625e LEA EDI,[AA09ACC4] aa096264 MOV ECX,50 aa096269 SHR ECX,2 aa09626c MOV EAX,[EBP-8] aa09626f CLD aa096270 REPNE SCAS BYTE PTR ES:[EDI] aa096271 SCAS DWORD PTR ES:[EDI] aa096272 POP EDI aa096273 OR ECX,ECX aa096275 JE SHORT AA096279 aa096277 JMP SHORT AA0962E4 aa096279 LEA EAX,[EBP-10] aa09627c PUSH EAX aa09627d PUSH 18 aa09627f LEA EAX,[EBP-28] aa096282 PUSH EAX aa096283 PUSH 0 aa096285 PUSH DWORD PTR [EBP+8] aa096288 CALL AA099CF4 aa09628d OR EAX,EAX aa09628f JNZ SHORT AA096299 aa096291 PUSH DWORD PTR [EBP-18] aa096294 POP DWORD PTR [EBP-C] aa096297 JMP SHORT AA0962AB aa096299 PUSH EAX aa09629a PUSH 1 aa09629c PUSH 82 aa0962a1 CALL AA093ACB aa0962a6 ADD ESP,C aa0962a9 JMP SHORT AA0962E4 aa0962ab CMP DWORD PTR [EBP-C],0 aa0962af JNZ SHORT AA0962B3 aa0962b1 JMP SHORT AA0962E4 aa0962b3 MOV EAX,[EBP-C] aa0962b6 CMP EAX,[EBP-8] aa0962b9 JNZ SHORT AA0962BD aa0962bb JMP SHORT AA0962E4 aa0962bd PUSH ESI aa0962be MOV EAX,20 aa0962c3 SHR EAX,2 aa0962c6 MOV ECX,[EBP-C] aa0962c9 LEA ESI,[AA09C118] aa0962cf JMP SHORT AA0962D9 aa0962d1 CMP [ESI],ECX aa0962d3 JE SHORT AA0962DD aa0962d5 ADD ESI,4 aa0962d8 DEC EAX aa0962d9 OR EAX,EAX aa0962db JNZ SHORT AA0962D1 aa0962dd POP ESI aa0962de OR EAX,EAX aa0962e0 JE SHORT AA0962E4 aa0962e2 JMP SHORT AA0962FD aa0962e4 PUSH DWORD PTR [EBP+18] aa0962e7 PUSH DWORD PTR [EBP+14] aa0962ea PUSH DWORD PTR [EBP+10] aa0962ed PUSH DWORD PTR [EBP+C] aa0962f0 PUSH DWORD PTR [EBP+8] aa0962f3 MOV EAX,[AA09AD18] aa0962f8 CALL EAX aa0962fa MOV [EBP-4],EAX aa0962fd MOV EAX,[EBP-4] aa096300 POP DWORD PTR FS:[0] aa096307 ADD ESP,C aa09630a DEC DWORD PTR [AA09ADB8] aa096310 LEAVE aa096311 RETN 14 是不是很眼熟啊？对滴还记的哪个结构不？ aa0962e4 PUSH DWORD PTR [EBP+18] aa0962e7 PUSH DWORD PTR [EBP+14] aa0962ea PUSH DWORD PTR [EBP+10] aa0962ed PUSH DWORD PTR [EBP+C] aa0962f0 PUSH DWORD PTR [EBP+8] aa0962f3 MOV EAX,[AA09AD18] aa0962f8 CALL EAX 这里也和上面一样的操作我就直接说结果了改写 aa096235 JMPaa0962e4 在内存窗口打入打入E9 AA 00 00 00 （连偏移都一样汗一个）打入uf 0xaa096098 我这里的nt!NtOpenProcess HOOK 地址 aa096098 PUSH EBP aa096099 MOV EBP,ESP aa09609b ADD ESP,-30 aa09609e CALL AA096091 aa0960a3 JMP SHORT AA0960BC aa0960bc PUSH AA0960A5 aa0960c1 PUSH AA0961D7 aa0960c6 PUSH AA0998D7 aa0960cb PUSH DWORD PTR FS:[0] aa0960d2 MOV FS:[0],ESP aa0960d9 PUSH DWORD PTR [EBP+14] aa0960dc PUSH DWORD PTR [EBP+10] aa0960df PUSH DWORD PTR [EBP+C] aa0960e2 PUSH DWORD PTR [EBP+8] aa0960e5 MOV EAX,[AA09AD14] aa0960ea CALL EAX aa0960ec MOV [EBP-8],EAX aa0960ef OR EAX,EAX aa0960f1 JE SHORT AA0960F8 aa0960f3 JMP AA0961D7 aa0960f8 PUSH ECX aa0960f9 MOV ECX,[EBP+C] aa0960fc AND ECX,30 aa0960ff OR ECX,ECX aa096101 JNZ SHORT AA096109 aa096103 POP ECX aa096104 JMP AA0961D7 aa096109 POP ECX aa09610a CALL AA099D96 aa09610f MOV [EBP-C],EAX aa096112 PUSH EDI aa096113 LEA EDI,[AA09ACC4] aa096119 MOV ECX,50 aa09611e SHR ECX,2 aa096121 MOV EAX,[EBP-C] aa096124 CLD aa096125 REPNE SCAS BYTE PTR ES:[EDI] aa096126 SCAS DWORD PTR ES:[EDI] aa096127 POP EDI aa096128 OR ECX,ECX aa09612a JE SHORT AA096131 aa09612c JMP AA0961D7 aa096131 MOV EAX,[EBP+14] aa096134 OR EAX,EAX aa096136 JE SHORT AA09613F aa096138 MOV EAX,[EAX] aa09613a MOV [EBP-10],EAX aa09613d JMP SHORT AA096146 aa09613f MOV DWORD PTR [EBP-10],0 aa096146 CMP DWORD PTR [EBP-10],0 aa09614a JNZ SHORT AA09618E aa09614c MOV EAX,[EBP+8] aa09614f PUSH DWORD PTR [EAX] aa096151 POP DWORD PTR [EBP-4] aa096154 LEA EAX,[EBP-14] aa096157 PUSH EAX aa096158 PUSH 18 aa09615a LEA EAX,[EBP-30] aa09615d PUSH EAX aa09615e PUSH 0 aa096160 PUSH DWORD PTR [EBP-4] aa096163 CALL AA099CF4 aa096168 OR EAX,EAX aa09616a JNZ SHORT AA096174 aa09616c PUSH DWORD PTR [EBP-20] aa09616f POP DWORD PTR [EBP-10] aa096172 JMP SHORT AA096186 aa096174 PUSH EAX aa096175 PUSH 1 aa096177 PUSH 81 aa09617c CALL AA093ACB aa096181 ADD ESP,C aa096184 JMP SHORT AA0961D7 aa096186 CMP DWORD PTR [EBP-10],0 aa09618a JNZ SHORT AA09618E aa09618c JMP SHORT AA0961D7 aa09618e MOV EAX,[EBP-10] aa096191 CMP EAX,[EBP-C] aa096194 JNZ SHORT AA096198 aa096196 JMP SHORT AA0961D7 aa096198 PUSH ESI aa096199 MOV EAX,20 aa09619e SHR EAX,2 aa0961a1 MOV ECX,[EBP-10] aa0961a4 LEA ESI,[AA09C118] aa0961aa JMP SHORT AA0961B4 aa0961ac CMP [ESI],ECX aa0961ae JE SHORT AA0961B8 aa0961b0 ADD ESI,4 aa0961b3 DEC EAX aa0961b4 OR EAX,EAX aa0961b6 JNZ SHORT AA0961AC aa0961b8 POP ESI aa0961b9 OR EAX,EAX aa0961bb JE SHORT AA0961D7 aa0961bd PUSH DWORD PTR [EBP-4] aa0961c0 CALL AA099DAE aa0961c5 MOV EAX,[EBP+8] aa0961c8 MOV DWORD PTR [EAX],0 aa0961ce MOV DWORD PTR [EBP-8],C000000D aa0961d5 JMP SHORT AA0961D7 aa0961d7 MOV EAX,[EBP-8] aa0961da POP DWORD PTR FS:[0] aa0961e1 ADD ESP,C aa0961e4 DEC DWORD PTR [AA09ADB8] aa0961ea LEAVE aa0961eb RETN 10 这个函数有点不一样哦我们抓住它的结构不放 aa0960d9 PUSH DWORD PTR [EBP+14] aa0960dc PUSH DWORD PTR [EBP+10] aa0960df PUSH DWORD PTR [EBP+C] aa0960e2 PUSH DWORD PTR [EBP+8] aa0960e5 MOV EAX,[AA09AD14] aa0960ea CALL EAX nt!NtOpenProcess 的4个参数吻合 aa0960ec MOV [EBP-8],EAX aa0960ef OR EAX,EAX aa0960f1 JE SHORT AA0960F8 aa0960f3 JMP AA0961D7 简单分析下返回值保存在变量然后或运算想等继续处理我们查看 aa0960f3 JMP AA0961D7 不相等是如何处理 aa0961d7 MOV EAX,[EBP-8] aa0961da POP DWORD PTR FS:[0] aa0961e1 ADD ESP,C aa0961e4 DEC DWORD PTR [AA09ADB8] aa0961ea LEAVE aa0961eb RETN 10 取出返回值过场这样就完了？那很明显直接KO aa0960f1 2个 90 （NOP）解决到这里驱动保护 3个函数已经被 KO了我们可以直接读写他的内存了 ^_^ 本次教程结束谢谢观看
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2008-12-3 10:58 3 楼 0 完美的就这么点内容？ PerfectProtector.sys这个名字看上去就很厉害啊
caierhuan 雪币： 279 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	caierhuan 2008-12-3 11:04 4 楼 0 谢谢大牛回复倍感荣幸还有 int 1 与 int 3 反调式需要恢复这个米说
zhangshuo 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 23 粉丝 0 关注私信	zhangshuo 2008-12-3 13:25 5 楼 0 BS一下你广海都不发
caierhuan 雪币： 279 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 20 回帖 80 粉丝 0 关注私信	caierhuan 2008-12-3 14:00 6 楼 0 2006年注册看雪滴水之恩不敢忘记学于看雪发在看雪其实根本就没什么技术高手不屑说我等菜鸟又搞不懂偶有1点心得不敢独享发来分享下如此而已
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 67 回帖 1292 粉丝 2 关注私信	Isaiah 10 2008-12-3 14:25 7 楼 0 完美的驱动目前还很简陋。主要是没有对自身的效验。相信过段时间会升级的
海风月影雪币： 7300 活跃值： (3758) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2313 粉丝 116 关注私信	海风月影 22 2008-12-3 15:36 8 楼 0 很大，有1M，很强大
yanzhuhua 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	yanzhuhua 2008-12-4 13:17 9 楼 0 "这里我们就直接KO它改写aa09635c执行流程让它直接执行到aa09640b " aa09640b 怎么改成aa09635c,直接输入不行呢 [s:50] [s:50]
caiyangan 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	caiyangan 2008-12-4 16:23 10 楼 0 楼主我在膜拜你的文章
HamiltonLi 雪币： 311 活跃值： (291) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 51 粉丝 1 关注私信	HamiltonLi 2008-12-4 16:54 11 楼 0 不错，学习了一下！
moodsky 雪币： 208 活跃值： (371) 能力值： ( LV12，RANK：330 ) 在线值：发帖 22 回帖 238 粉丝 1 关注私信	moodsky 8 2008-12-5 09:14 12 楼 0 写这个PerfectProtector.sys的人该下岗了，不过图片都那里去了？
星星人雪币： 1076 活跃值： (1373) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 23 粉丝 77 关注私信	星星人 2008-12-5 10:43 13 楼 0 老大，能把这个也说一下该如何恢复好吗？谢谢
mutout 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 16 粉丝 0 关注私信	mutout 2008-12-8 20:43 14 楼 0 不错，学习了一下！
youngyears 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	youngyears 2008-12-9 19:46 15 楼 0 新手学习中．．．．
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 48 回帖 1176 粉丝 22 关注私信	qihoocom 9 2008-12-10 02:39 16 楼 0 都写访问内核内存了，上驱动了，还有什么好KO，好写文章的，无聊
梧桐雪币： 236 活跃值： (13) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	梧桐 1 2008-12-10 14:31 17 楼 0 怀疑LS是MJ的马甲
雪的思念雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 0 关注私信	雪的思念 2008-12-11 20:26 18 楼 0 没有看的很明白，先谢LZ，占个位置慢慢地琢磨去了
kccp 雪币： 51 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 22 粉丝 0 关注私信	kccp 2008-12-18 20:26 19 楼 0 同问
jwasami 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 40 粉丝 0 关注私信	jwasami 2008-12-19 17:38 20 楼 0 好文要支持啊！！！！
appben 雪币： 213 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 124 粉丝 0 关注私信	appben 2008-12-20 05:48 21 楼 0 那个把图片给吃了呢?
hcaihao 雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 32 粉丝 0 关注私信	hcaihao 2008-12-21 19:59 22 楼 0 怎样恢复int断点呢？
iamatig 雪币： 137 活跃值： (65) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 81 粉丝 0 关注私信	iamatig 2008-12-27 18:13 23 楼 0 2003下说“系统不支持本地内核调试”，上网搜索了半天，居然没有？请问是怎么回事？请看图,非得XP才行吗？2003下有其它办法吗？上传的附件：未命名.JPG （16.03kb，782次下载）
DiKeN 雪币： 1126 活跃值： (156) 能力值： ( LV9，RANK：210 ) 在线值：发帖 28 回帖 189 粉丝 5 关注私信	DiKeN 5 2008-12-31 22:58 24 楼 0 INT1,INT3,INT22也都被替换了。并在应用层使用他们与驱动进行通信，可能与反外挂封包结合运算了.
myliliyi 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	myliliyi 2009-1-2 22:23 25 楼 0 学习了~~~强大!!!
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复