首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] [求助]游戏驱动保护NtOpenProcess 0.00雪花
发表于: 2009-3-22 19:13 6021

[旧帖] [求助]游戏驱动保护NtOpenProcess 0.00雪花

exetxt 活跃值
2009-3-22 19:13
6021
TX的游戏驱动保护。做为rootkit 研究。然后在阻剑看到NtOpenProcess+0x224
这个地址原本是CALL Nt!ObOpenObjectByPointer 的腾迅改成CALL他自己的函数。
我想问下。这个要怎么过。很明显直接还原是不行的。。。

我不是要做挂。所以什么结束检验线程的。破坏校验代码的不考虑

怎么样绕过去?我看到说inline hook ObOpenObjectByPointer 重写跳转。这个要怎么做?

能否给个比较完整的例子。。

研究了好几天。可是完全没成绩!哎。。。。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (7)
fixfix
雪    币: 419
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
我只能说,还不如好好看UNPACK那代码
2009-3-22 19:38
0
exetxt
雪    币: 41
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
那个是针对外挂的。对于我研究的rootkit 来说没比较大的意义。。。
我想要的是能够治标的
2009-3-22 20:28
0
fixfix
雪    币: 419
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
看你在UNPACK那么激动,有兴趣,我还不信你只是研究 rootkit 的

建议你去逆向 softice 那驱动 那个好玩很
2009-3-22 21:13
0
exetxt
雪    币: 41
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
恩。。。研究研究了。。。
可是毕竟汇编不是我的专长。。。只能看的懂原理。

没办法做延伸发展。。。

我在改写NtOpenProcess。将函数跳到他后面。可是发现这一跳就蓝掉。。。

而在前15个字节跳却没事!!很郁闷啊!我在想那个ObOpenObjectByPointer的跳转是怎么样做?
是把ObOpenObjectByPointer的地址改成别的地址么?跟SSDT HOOK一样
2009-3-22 21:34
0
fixfix
雪    币: 419
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
先获取  NtOpenProcess 地址

在获取  ObOpenObjectByPointer 地址

然后在 NtOpenProcess 搜索 E8  如果是E8 在比较后面4的指令 是不是 CALL 到  

ObOpenObjectByPointer的

TX 就是这样HOOK的
2009-3-22 21:45
0
exetxt
雪    币: 41
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
知道他是怎么做的。。知道他在哪动的手脚。可是却没解决的办法。。。

很尴尬啊。。。就像明明知道自己没穿裤子。可是却找不到裤子可以穿一样

有没高手出来指点一二?
2009-3-22 22:53
0
fixfix
雪    币: 419
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
softice  bpm XXXXXXXX
2009-3-23 07:27
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//