S.l.e!ep.¢%

像打了激速一样,以四倍的速度运转,开心的工作
简单、开放、平等的公司文化;尊重个性、自由与个人价值;
posts - 1098, comments - 335, trackbacks - 0, articles - 1
  C++博客 :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

绕过nProtect[NP]读写受保护进程内存

Posted on 2009-09-24 11:14 S.l.e!ep.¢% 阅读(2966) 评论(1)  编辑 收藏 引用 所属分类: Crack
绕过nProtect[NP]读写受保护进程内存
2008-10-30 13:28
这几天一直在研究NP,话说NP是这个世界上最WS,最恶心的东东之一,关于内存,他HOOK了以下函数
NtOpenProcess -inline
NtReadVirtualMemory-inline
NtWriteVirtualMemory-inline
KeAttachProcess-inline
KiAttachProcess- inline
KeStackAttachProcess -inline

1,首先试着恢复下INLINE,NP重启...

2,那再试下修改inline指向的np驱动(dump_wmimmc.sys)中的代码,游戏重启....

3,看样子他修改过的代码都被监视了,那不动他的代码

4,修改SSDT,把NtOpenProcess换成自己的代码,在函数头实现原NtOpenProcess的前几个字节,再跳回原NtOpenProcess,这样 NtOpenProcess的inline就失效了,试了下,效果很好,不过,据wowocock大牛说,这东东的最新版本会监视SSDT,呃。。。那就 不爽了

5,那试下自己实现NtOpenProcess跟NtRead/Write,调用自己的KeAttachProcess来读内存,效果不错
下面读泡泡主进程CA.exe的ntdll.dll开始字节:




呵呵,读成功了,开始字节是标志"MZ".............

Feedback

# re: 绕过nProtect[NP]读写受保护进程内存[未登录]  回复  更多评论   

2009-10-19 17:24 by foxriver
吐血啊,自己来实现NtOpenProcess? 有这水品,干脆转行开发操作系统算了!

只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   知识库   博问   管理