能力值:
( LV2,RANK:10 )
2 楼
遇到 挂钩太深 就挂了
unpack.cn
有份ASM代码
过完所有TX游戏
只是具体有些偏移需要调整
至今没封
原因不明
能力值:
( LV2,RANK:10 )
3 楼
那份ASM代码我看过了,和一起给出的驱动IDA出来的代码完全不一样。。。驱动应该早就封了的,但是我不知道那份代码是干什么用的,为什么要一起给出来?。。。
能力值:
( LV2,RANK:10 )
4 楼
没封,还好好的
能力值:
( LV2,RANK:10 )
5 楼
在 UNPACK 共两份
PASS开头那份至今没封
你说给出的驱动不知道你什么意思
那代码的作用是过完TX的驱动保护
能力值:
( LV2,RANK:10 )
6 楼
我在猴岛下载的,驱动的文件名是SYSFuncHook.sys,另外还有个EXE是带毒的我脱掉了,不知道你下载到的版本和我的是不是一样。。。
能力值:
( LV2,RANK:10 )
7 楼
请看好
UNPACK.CN
作者就发到那
只提供代码 其他的论坛都不是作者发的
作者都说了
能力值:
( LV2,RANK:10 )
8 楼
;write by y3y3y3 from www.unpack.cn
.386
.model flat, stdcall
option casemap:none
include C:\RadASM\masm32\include\w2k\ntstatus.inc
include C:\RadASM\masm32\include\w2k\ntddk.inc
include C:\RadASM\masm32\include\w2k\ntoskrnl.inc
include C:\RadASM\masm32\include\w2k\w2kundoc.inc
includelib C:\RadASM\masm32\lib\w2k\ntoskrnl.lib
include C:\RadASM\\masm32\Macros\Strings.mac
.data
CCOUNTED_UNICODE_STRING "KeAttachProcess",KeAttachProcess_String, 4
CCOUNTED_UNICODE_STRING "PsCreateSystemThread", PsCreateSystemThread_String, 4
CCOUNTED_UNICODE_STRING "ObOpenObjectByPointer",ObOpenObjectByPointer_String,4
CCOUNTED_UNICODE_STRING "NtOpenProcess",NtOpenProcess_String,4
CCOUNTED_UNICODE_STRING "NtOpenThread", NtOpenThread_String,4
PsCreateSystemThread_addr dd ?
NtWriteVirtualMemory_addr dd ?
NtReadVirtualMemory_addr dd ?
ObOpenObjectByPointer_addr dd ?
NtOpenThread_addr dd ?
NtOpenProcess_addr dd ?
KiAttachProcess_addr dd ?
NtWriteVirtualMemory_oldbyte db 10 dup (0)
PsCreateSystemThread_oldbyte db 10 dup (0)
NtReadVirtualMemory_oldbyte db 10 dup (0)
KiAttachProcess_oldbyte db 10 dup (0)
threadproc dd ?
sysbase dd ?
hook dd ?
………………
*********************************************
哦,不好意思,我真搞错了。。。你说的是这个代码吧?这个代码我真没看过,研究下。。。
能力值:
( LV2,RANK:10 )
9 楼
是这代码。。。。。。
能力值:
( LV2,RANK:10 )
10 楼
感觉腾讯的东西不要动的好~~~
小心老马的“别动队”人员把你逮去南山法院
能力值:
( LV2,RANK:10 )
11 楼
额。。。10楼提醒的是,我仅为技术研究哈。。。
能力值:
( LV4,RANK:50 )
12 楼
不错!谢谢分享!
能力值:
( LV2,RANK:10 )
13 楼
一旦出现危险,可以采取以下方法
将所有技术资料散播开,让他们晕头转向,在互联网四处传播,注册大量马甲,即可
最后,上网的人都会造外挂,那抓谁呢,不是喜欢抓的?叫他们慢慢追究。
喜欢做挂的,那这辈子注定,你就老天奉命的,你必须违法,要不你只有自尽
只有不上看雪学院,只有不懂什么叫外挂的人,才是最安全,自然,也是最可爱的啦
能力值:
( LV2,RANK:10 )
14 楼
我也想学驱动,从哪开始好?我是初学初学再初学者......
能力值:
( LV2,RANK:10 )
15 楼
能力值:
( LV2,RANK:10 )
16 楼
不懂不懂的问一句,能不能调试下驱动,然后看它的判断在哪里,
最后就暴力把它代码给改了行不?,就好像patch破R3的一般程序一样
能力值:
( LV2,RANK:10 )
17 楼
TX的驱动,完全可以这样
能力值:
( LV2,RANK:10 )
18 楼
看了楼主修复 CALL 和 JXX 的函数,狂晕了一下,这C不是一般难懂,下面来个ASM版本的 fixcode proc PCopyNtOpenProcess_addr:dword,PNtOpenProcess_addr:dword,PNtOpenProcess_Size:dword
;write by fixfix
pushad
mov edi,PCopyNtOpenProcess_addr
mov ecx,PNtOpenProcess_Size
mov esi,PNtOpenProcess_addr
rep movsb
popad
pushfd
pushad
xor ecx,ecx
mov eax,PNtOpenProcess_addr
j: cmp PNtOpenProcess_Size,ecx
jne @F
popad
popfd
ret 12
@@: cmp byte ptr [eax],0e8h
jne @f
mov edx,dword ptr [eax+1]
lea esi,dword ptr [eax+edx+5]
mov edi,PCopyNtOpenProcess_addr
add edi,ecx
sub esi,edi
sub esi,5
mov dword ptr [edi+1],esi
add eax,5
add ecx,5
jmp j
@@: cmp byte ptr [eax],0fh
jne @F
cmp byte ptr [eax+1],8Fh
jg @F
mov edx,dword ptr [eax+2]
lea esi,dword ptr [eax+edx+6]
mov edi,PCopyNtOpenProcess_addr
add edi,ecx
sub esi,edi
sub esi,6
mov dword ptr [edi+2],esi
add eax,6
add ecx,6
jmp j
@@: inc eax
inc ecx
jmp j
fixcode endp
能力值:
( LV2,RANK:10 )
19 楼
恢复Inline Hook 方法,能说一下吗,有没有只恢复Inline Hook就可以搞定的程序让我学习一下,介绍一个。
我想先从怎么恢复Inline Hook开始学习,还有。。如何知道什么函数被 Inline Hook了
能力值:
( LV2,RANK:10 )
20 楼
RKU之类的内核工具扫描下
能力值:
( LV2,RANK:10 )
21 楼
我是个什么都没懂的初学者,内核工具说一下名字吧,我得先搞明白全过程的第一步
能力值:
( LV2,RANK:10 )
22 楼
Rootkit Unhooker google 下
能力值:
( LV2,RANK:10 )
23 楼
谢谢指点
能力值:
( LV2,RANK:10 )
24 楼
用RKU看了一下Np,只Hook了NtUserPostMessage;奇怪的是我做了一个遍历进程获取窗口名的东西一开,Np就弹个大红叉叉了,这是什么原因呢?
我用了EnumWindows,GetWindowText和GetWindowThreadProcessId,在RKU里面没找到这3个API
是不是级别不在一个层次里(R0?R3?)
如果要看前面3个API有没给Hook掉要怎么做?
能力值:
( LV2,RANK:10 )
25 楼
你程序用到 OPENPROCESS ?
R3下面就是R0 了