[求助]分析NtOpenProcess-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (7)
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 2 楼 1.以前用的好像是 mov REG,0xXXXXXXXX call REG 2.驱动加载后,分配非分页内存,把关键代码放在里面,然后驱动就Unload了 2011-12-27 13:32 0
watchfish 雪币： 227 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	watchfish 3 楼用XueTr提取内存模块可以用来逆向么？ 2011-12-27 16:04 0
watchfish 雪币： 227 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	watchfish 4 楼谢谢回复!还是找不到... 不过用RKUnhooker3.7检测出来code hooks: 2个inline hook ntkrnlpa.exe-->DbgPrint, Type: Inline - RelativeJump at address 0x8052C892 hook handler located in [TesSafe.sys] ntkrnlpa.exe-->PsGetVersion, Type: Inline - RelativeJump at address 0x8052C062 hook handler located in [TesSafe.sys] 3个dll hook [3024]CG_Ystjc.exe-->kernel32.dll-->LoadLibraryExW, Type: Inline - RelativeJump at address 0x7C801AF5 hook handler located in [ystjc.dll] [3024]CG_Ystjc.exe-->kernel32.dll-->OutputDebugStringA, Type: Inline - DirectJump at address 0x7C85AD4C hook handler located in [ystjc.dll]/防止调试?/ [3024]CG_Ystjc.exe-->user32.dll-->SendMessageA, Type: Inline - RelativeJump at address 0x77D2F3C2 hook handler located in [ystjc.dll] 2011-12-30 21:17 0
tokiii 雪币： 695 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 95 粉丝 0 关注私信	tokiii 5 楼 HOOK NtDeleteFile 2011-12-31 19:46 0
ppbb 雪币： 114 活跃值： (659) 能力值： ( LV4，RANK：40 ) 在线值：发帖 8 回帖 53 粉丝 19 关注私信	ppbb 6 楼 pe reload 一个内核, 把ntopenprocess 给干回来。 lz 在搞dnf？ 2011-12-31 22:02 0
watchfish 雪币： 227 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	watchfish 7 楼不是dnf，这是一个私服的保护，好像比dnf的保护思路还完整，初学有关内核的知识，所以来看雪求教。 2012-1-1 11:55 0
ppbb 雪币： 114 活跃值： (659) 能力值： ( LV4，RANK：40 ) 在线值：发帖 8 回帖 53 粉丝 19 关注私信	ppbb 8 楼搞个蓝屏dump ，一切尽在不言之中。。总允许蓝屏吧 2012-1-2 23:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (7)
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 2 楼 1.以前用的好像是 mov REG,0xXXXXXXXX call REG 2.驱动加载后,分配非分页内存,把关键代码放在里面,然后驱动就Unload了 2011-12-27 13:32 0
watchfish 雪币： 227 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	watchfish 3 楼用XueTr提取内存模块可以用来逆向么？ 2011-12-27 16:04 0
watchfish 雪币： 227 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	watchfish 4 楼谢谢回复!还是找不到... 不过用RKUnhooker3.7检测出来code hooks: 2个inline hook ntkrnlpa.exe-->DbgPrint, Type: Inline - RelativeJump at address 0x8052C892 hook handler located in [TesSafe.sys] ntkrnlpa.exe-->PsGetVersion, Type: Inline - RelativeJump at address 0x8052C062 hook handler located in [TesSafe.sys] 3个dll hook [3024]CG_Ystjc.exe-->kernel32.dll-->LoadLibraryExW, Type: Inline - RelativeJump at address 0x7C801AF5 hook handler located in [ystjc.dll] [3024]CG_Ystjc.exe-->kernel32.dll-->OutputDebugStringA, Type: Inline - DirectJump at address 0x7C85AD4C hook handler located in [ystjc.dll]/防止调试?/ [3024]CG_Ystjc.exe-->user32.dll-->SendMessageA, Type: Inline - RelativeJump at address 0x77D2F3C2 hook handler located in [ystjc.dll] 2011-12-30 21:17 0
tokiii 雪币： 695 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 95 粉丝 0 关注私信	tokiii 5 楼 HOOK NtDeleteFile 2011-12-31 19:46 0
ppbb 雪币： 114 活跃值： (659) 能力值： ( LV4，RANK：40 ) 在线值：发帖 8 回帖 53 粉丝 19 关注私信	ppbb 6 楼 pe reload 一个内核, 把ntopenprocess 给干回来。 lz 在搞dnf？ 2011-12-31 22:02 0
watchfish 雪币： 227 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	watchfish 7 楼不是dnf，这是一个私服的保护，好像比dnf的保护思路还完整，初学有关内核的知识，所以来看雪求教。 2012-1-1 11:55 0
ppbb 雪币： 114 活跃值： (659) 能力值： ( LV4，RANK：40 ) 在线值：发帖 8 回帖 53 粉丝 19 关注私信	ppbb 8 楼搞个蓝屏dump ，一切尽在不言之中。。总允许蓝屏吧 2012-1-2 23:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复