遇到 挂钩太深 就挂了

unpack.cn

有份ASM代码

过完所有TX游戏

只是具体有些偏移需要调整

至今没封

原因不明

那份ASM代码我看过了，和一起给出的驱动IDA出来的代码完全不一样。。。驱动应该早就封了的，但是我不知道那份代码是干什么用的，为什么要一起给出来？。。。

没封，还好好的

在 UNPACK 共两份

PASS开头那份至今没封

你说给出的驱动不知道你什么意思

那代码的作用是过完TX的驱动保护

我在猴岛下载的，驱动的文件名是SYSFuncHook.sys，另外还有个EXE是带毒的我脱掉了，不知道你下载到的版本和我的是不是一样。。。

请看好

UNPACK.CN

作者就发到那

只提供代码

其他的论坛都不是作者发的

作者都说了

;write by y3y3y3 from www.unpack.cn
.386
.model flat, stdcall
option casemap:none

include C:\RadASM\masm32\include\w2k\ntstatus.inc
include C:\RadASM\masm32\include\w2k\ntddk.inc
include C:\RadASM\masm32\include\w2k\ntoskrnl.inc
include C:\RadASM\masm32\include\w2k\w2kundoc.inc
includelib C:\RadASM\masm32\lib\w2k\ntoskrnl.lib
include C:\RadASM\\masm32\Macros\Strings.mac

   
.data
CCOUNTED_UNICODE_STRING "KeAttachProcess",KeAttachProcess_String,  4
CCOUNTED_UNICODE_STRING "PsCreateSystemThread", PsCreateSystemThread_String, 4
CCOUNTED_UNICODE_STRING "ObOpenObjectByPointer",ObOpenObjectByPointer_String,4
CCOUNTED_UNICODE_STRING "NtOpenProcess",NtOpenProcess_String,4
CCOUNTED_UNICODE_STRING "NtOpenThread", NtOpenThread_String,4
PsCreateSystemThread_addr dd ?
NtWriteVirtualMemory_addr dd ?
NtReadVirtualMemory_addr  dd ?
ObOpenObjectByPointer_addr dd ?
NtOpenThread_addr dd ?
NtOpenProcess_addr dd ?
KiAttachProcess_addr dd ?
NtWriteVirtualMemory_oldbyte db 10 dup (0)
PsCreateSystemThread_oldbyte db 10 dup (0)
NtReadVirtualMemory_oldbyte  db 10 dup (0)
KiAttachProcess_oldbyte db 10 dup (0)
threadproc dd ?
sysbase dd ?
hook    dd ?
………………
*********************************************
哦，不好意思，我真搞错了。。。你说的是这个代码吧？这个代码我真没看过，研究下。。。

是这代码。。。。。。

感觉腾讯的东西不要动的好~~~
小心老马的“别动队”人员把你逮去南山法院

额。。。10楼提醒的是，我仅为技术研究哈。。。

不错！谢谢分享！

一旦出现危险，可以采取以下方法
将所有技术资料散播开，让他们晕头转向，在互联网四处传播，注册大量马甲，即可
最后，上网的人都会造外挂，那抓谁呢，不是喜欢抓的？叫他们慢慢追究。

喜欢做挂的，那这辈子注定，你就老天奉命的，你必须违法，要不你只有自尽

只有不上看雪学院，只有不懂什么叫外挂的人，才是最安全，自然，也是最可爱的啦

我也想学驱动，从哪开始好？我是初学初学再初学者......

我是看罗云彬翻译的《Four-F的驱动开发教程》，可惜太菜很多都没怎么看明白。。。希望有高人能跟帖指导下

不懂不懂的问一句，能不能调试下驱动，然后看它的判断在哪里，

最后就暴力把它代码给改了行不？，就好像patch破R3的一般程序一样

TX的驱动，完全可以这样

看了楼主修复 CALL 和 JXX 的函数，狂晕了一下，这C不是一般难懂，下面来个ASM版本的

fixcode proc  PCopyNtOpenProcess_addr:dword,PNtOpenProcess_addr:dword,PNtOpenProcess_Size:dword
       ;write by fixfix
        pushad
        mov edi,PCopyNtOpenProcess_addr
        mov ecx,PNtOpenProcess_Size
        mov esi,PNtOpenProcess_addr
        rep movsb
        popad
        
        pushfd
        pushad
        xor ecx,ecx
        mov eax,PNtOpenProcess_addr
j:      cmp PNtOpenProcess_Size,ecx
        jne @F
        popad
        popfd
        ret 12
@@:     cmp byte ptr [eax],0e8h
        jne @f
        mov edx,dword ptr [eax+1]
        lea esi,dword ptr [eax+edx+5]
        mov edi,PCopyNtOpenProcess_addr
        add edi,ecx
        sub esi,edi
        sub esi,5
        mov dword ptr [edi+1],esi
        add eax,5
        add ecx,5
        jmp j
@@:     cmp byte ptr [eax],0fh
        jne @F
        cmp byte ptr [eax+1],8Fh
        jg @F
        mov edx,dword ptr [eax+2]
        lea esi,dword ptr [eax+edx+6]
        mov edi,PCopyNtOpenProcess_addr
        add edi,ecx
        sub esi,edi
        sub esi,6
        mov dword ptr [edi+2],esi
        add eax,6
        add ecx,6
        jmp j
@@:     inc eax
        inc ecx
        jmp j
fixcode endp

恢复Inline Hook 方法，能说一下吗，有没有只恢复Inline Hook就可以搞定的程序让我学习一下，介绍一个。

我想先从怎么恢复Inline Hook开始学习，还有。。如何知道什么函数被 Inline Hook了

RKU之类的内核工具扫描下

我是个什么都没懂的初学者，内核工具说一下名字吧，我得先搞明白全过程的第一步

Rootkit Unhooker

google 下

谢谢指点

用RKU看了一下Np，只Hook了NtUserPostMessage;奇怪的是我做了一个遍历进程获取窗口名的东西一开，Np就弹个大红叉叉了，这是什么原因呢？

我用了EnumWindows，GetWindowText和GetWindowThreadProcessId，在RKU里面没找到这3个API

是不是级别不在一个层次里（R0？R3？）

如果要看前面3个API有没给Hook掉要怎么做？

你程序用到 OPENPROCESS ?

R3下面就是R0 了