貌似只改了SSDT的驱动保护

最新推荐文章于 2022-02-05 16:03:40 发布
最新推荐文章于 2022-02-05 16:03:40 发布
阅读量464 收藏
点赞数
分类专栏: 逆向

b1b465b4 8bff mov edi,edi
b1b465b6 55 push ebp //这两行是内核的特征,凑足5个字
b1b465b7 8bec mov ebp,esp
b1b465b9 83ec10 sub esp,10h
b1b465bc 53 push ebx
b1b465bd 8b5d14 mov ebx,dword ptr [ebp+14h] // 3参 ObjectAttributes
b1b465c0 56 push esi
b1b465c1 8b750c mov esi,dword ptr [ebp+0Ch] // 1参 ProcessHandle
b1b465c4 57 push edi
b1b465c5 33c0 xor eax,eax
b1b465c7 8d7df4 lea edi,[ebp-0Ch]
b1b465ca ab stos dword ptr es:[edi]
b1b465cb ab stos dword ptr es:[edi]
b1b465cc ab stos dword ptr es:[edi]
b1b465cd 8b03 mov eax,dword ptr [ebx] // 3参给Eax
b1b465cf 8365f400 and dword ptr [ebp-0Ch],0
b1b465d3 8945f8 mov dword ptr [ebp-8],eax // 3参给局部变量 ebp-8
b1b465d6 c645f001 mov byte ptr [ebp-10h],1 //给 ebp-10h 赋值为1
b1b465da 8975fc mov dword ptr [ebp-4],esi //1参给局部变量 ebp-4
b1b465dd ff151410b5b1 call dword ptr ds:[0B1B51014h] //调用了一个CALL,估计是判断是否是自己的PID
b1b465e3 8bf8 mov edi,eax
b1b465e5 8d45f0 lea eax,[ebp-10h] //取出地址
b1b465e8 50 push eax //这个地址里的值是1,压入1
b1b465e9 b9503ab5b1 mov ecx,0B1B53A50h //这里是个全局变量
b1b465ee e8873a0000 call b1b4a07a
b1b465f3 57 push edi
b1b465f4 e885dcffff call b1b4427e
b1b465f9 85c0 test eax,eax //判断 EAX是否为空
b1b465fb 7406 je b1b46603 //如果EAX为空就跳

b1b465fd c645f001 mov byte ptr [ebp-10h],1//如果EAX不为空,再次给[ebp-10h]赋值为1
b1b46601 eb03 jmp b1b46606

b1b46603 8b75fc mov esi,dword ptr [ebp-4] //1参赋值给ESI

b1b46606 8b4d08 mov ecx,dword ptr [ebp+8] //EBP+8是CALL的返回地址
b1b46609 832100 and dword ptr [ecx],0
b1b4660c 807df000 cmp byte ptr [ebp-10h],0 //比较下是否为0
b1b46610 b8220000c0 mov eax,0C0000022h
b1b46615 8bf8 mov edi,eax
b1b46617 7413 je b1b4662c //突破口就在这里,搞掉这句,让它执行原始的NTopenProcess,这个保护也就过了
b1b46619 837df400 cmp dword ptr [ebp-0Ch],0 比较执行的那个CALL的返回值,如果为0就跳
b1b4661d 740b je b1b4662a

b1b4661f 53 push ebx //如果 [ebp-0Ch]不为0就执行下面的
b1b46620 ff7510 push dword ptr [ebp+10h] //2参
b1b46623 56 push esi
b1b46624 51 push ecx
b1b46625 ff55f4 call dword ptr [ebp-0Ch] //这里执行的原始的NTopenprocess
b1b46628 8bf8 mov edi,eax

b1b4662a 8bc7 mov eax,edi

b1b4662c 5f pop edi
b1b4662d 5e pop esi
b1b4662e 5b pop ebx
b1b4662f c9 leave
b1b46630 c21000 ret 10h

 

病毒木马分析版主补充:hotpatch并不是内核的特征,而且也不是这两行,而是mov edi,edi 加上上面的三个nop。 另:是5个byte,不是字

a949308398
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护
07-31
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护 一份 非常不错的源码。。 内核重载了,让所有的SSDT函数全部走自己的路 。爆发式的驱动源码公开。代表了我国民间驱动技术已逐渐成熟,韩国棒子的NP技术终将被完结! 内核重载:内核重载后指定某个程序使用你重载的内核,可以绕过原有内核上面的所有hook
win7vtdb.zip_875_vt过驱动保护_vt驱动保护_win7vtdb_过保护
07-15
开启VT调试,过某xxx游戏驱动保护工程源码
AGP_X64_64VT技术过驱动保护_vt保护_x64驱动_VT_vt过保护
09-11
64位VT驱动 自建立调试体系 通杀所有保护 无限断点
[转]过XX游戏驱动保护的代码
weixin_33869377的博客
01-08 749
这个是过TX游戏自我保护驱动的源代码。可以过qq堂、DNF、寻仙等QQ游戏。#include <ntddk.h>#include <windef.h>#include <ntimage.h>#include "Common.h"typedef struct _KAPC_STATE {        LIST_ENTRY ApcListHead[2];      ...
win732位ce内核重载,与360保护和T__X保护有冲突,自己卸载掉吧,就可以用了
01-27
win732位ce内核重载,与360保护和T__X保护有冲突,自己卸载掉吧,就可以用了
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
最新发布
09-25
驱动层Hook SSDT:进程与驱动保护技术详解》 在信息安全领域,Hook SSDT(System Service Dispatch Table)是一种常见的技术手段,它涉及到操作系统内核、驱动程序以及进程管理等多个核心概念。Hook SSDT允许...
易语言源码易语言恢复SSDT驱动源码.rar
03-31
本资源“易语言源码易语言恢复SSDT驱动源码.rar”包含易语言编写的相关代码,用于恢复系统服务调度表(System Service Dispatch Table,简称SSDT驱动SSDT是Windows操作系统中的一个重要组成部分,它是一个表格...
易语言恢复SSDT驱动
07-21
易语言恢复SSDT驱动源码,恢复SSDT驱动,DriverEntry,驱动通信,DispatchCreateClose,驱动卸载,创建符号链接及设备,Get_KeServiceDescriptorTable_Address,ReadIntByAddr,读内存,写内存,取变量地址,DbgPrint,...
驱动程序保护进程(修SSDT方式)源码
07-10
typedef NTSTATUS (*ZWOPENPROCESS)( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); NTSYSAPI NTSTATUS ...
驱动保护工具(过游戏驱动保护工具)
01-11
驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)
VT过游戏保护,调试有保护的游戏
01-25
VT过游戏保护,调试有保护的游戏。无视TP,HP,PP。
重载内核全程分析笔记(附源码)
08-28
重载内核全程分析笔记(附源码) 还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面临崩溃的边缘。折腾了大半天,终于把代码都下载下来了,可是下载下来做什么呢,自己连看都看不懂 于是,带着激动而又郁闷的心情继续学习内核编程。 由于是初学者,很多时候也有不清楚的地方,若下文中有什么地方理解有误,还请大牛多多指正
利用Intel VT实现进程保护
andy7002的博客
05-02 8989
Intel VT即Intel公司的Virtualization Technology虚拟化技术, 在硬件级别上完成计算机的虚拟化。为实现硬件虚拟化 ,VT增加了12条新的 VMX指令。VT可以让一个CPU工作起来像多个CPU在并行运行,从而使得在一部电脑内同时运行多个操作系统成为可能。在安全领域,利用VT技术,64位系统的防护可以做到跟32位同级别的强度。 一、vt调试方法 1. 修vmx文
Intel VT学习笔记(一)—— 基础知识&支持检测
qq_41988448的博客
02-05 6305
Intel VT学习笔记(一)—— 基础知识&支持检测VT简介VT分类VT作用HypervisorVT实现支持检测cpuidIA32_FEATURE_CONTROL MSRCr0 & Cr4代码实现参考资料 VT简介 VT,就是虚拟化技术(Virtualization Technology)的缩写。Intel VT就是指Intel的虚拟化技术。这种技术简单来说就是让可以让一个CPU工作起来就像多个CPU并行运行,从而使得在一台电脑内可以同时运行多个操作系统。只有部分Intel的CPU才支持
过游戏保护NP或TP的几种方法和思路
weixin_34009794的博客
07-05 9893
以前有很多这方面的文章,但是大多涉及hook和汇编,新手门都是看了等于没看,还不如不看.但是本人通过实践,感觉就算是新手,只要善于组合使用一些现成的工具,依然可以达到目的. 先说下最新版本的np,虽然一些老的办法会被检测出来,但是基本原理是没有变化的,每次np更新,就像防毒软件更新病毒库一样,不一定是要抓住了你的程序才可以检测出来,任何类似的变种都可以检测出来的.所以可能你的程序从来没发布过,但...
SSDT HOOK驱动保护原理
crkres9527
09-19 1319
A、初识内核进程相关结构  B、内核函数PsGetCurrentProcess  C、进程保护原理  D、实例测试 dd nt!KeServiceDescriptorTable NTSTATUS NtOpenProcess(   __out     PHANDLE ProcessHandle,   __in      ACCESS_MASK DesiredAccess,   __i...
Windows下Ring0级进程保护组件:SSDT HOOK技术实现
"基于SSDT HOOK 技术的Ring0级进程保护组件设计与实现" 在Windows操作系统中,实现进程保护通常需要深入到系统的核心层,即Ring0级别。这篇文档详细介绍了如何利用SSDT(System Service Descriptor Table,系统服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值