这几天一直在研究NP,话说NP是这个世界上最WS,最恶心的东东之一,关于内存,他HOOK了以下函数
NtOpenProcess -inline
NtReadVirtualMemory-inline
NtWriteVirtualMemory-inline
KeAttachProcess-inline
KiAttachProcess- inline
KeStackAttachProcess -inline
1,首先试着恢复下INLINE,NP重启...
2,那再试下修改inline指向的np驱动(dump_wmimmc.sys)中的代码,游戏重启....
3,看样子他修改过的代码都被监视了,那不动他的代码
4,修改SSDT,把NtOpenProcess换成自己的代码,在函数头实现原NtOpenProcess的前几个字节,再跳回原NtOpenProcess,这样 NtOpenProcess的inline就失效了,试了下,效果很好,不过,据wowocock大牛说,这东东的最新版本会监视SSDT,呃。。。那就 不爽了
5,那试下自己实现NtOpenProcess跟NtRead/Write,调用自己的KeAttachProcess来读内存,效果不错
下面读泡泡主进程CA.exe的ntdll.dll开始字节:
呵呵,读成功了,开始字节是标志"MZ".............