貌似只改了SSDT的驱动保护

最新推荐文章于 2017-05-02 21:39:44 发布
最新推荐文章于 2017-05-02 21:39:44 发布
阅读量457 收藏
点赞数
分类专栏: 逆向

b1b465b4 8bff mov edi,edi
b1b465b6 55 push ebp //这两行是内核的特征,凑足5个字
b1b465b7 8bec mov ebp,esp
b1b465b9 83ec10 sub esp,10h
b1b465bc 53 push ebx
b1b465bd 8b5d14 mov ebx,dword ptr [ebp+14h] // 3参 ObjectAttributes
b1b465c0 56 push esi
b1b465c1 8b750c mov esi,dword ptr [ebp+0Ch] // 1参 ProcessHandle
b1b465c4 57 push edi
b1b465c5 33c0 xor eax,eax
b1b465c7 8d7df4 lea edi,[ebp-0Ch]
b1b465ca ab stos dword ptr es:[edi]
b1b465cb ab stos dword ptr es:[edi]
b1b465cc ab stos dword ptr es:[edi]
b1b465cd 8b03 mov eax,dword ptr [ebx] // 3参给Eax
b1b465cf 8365f400 and dword ptr [ebp-0Ch],0
b1b465d3 8945f8 mov dword ptr [ebp-8],eax // 3参给局部变量 ebp-8
b1b465d6 c645f001 mov byte ptr [ebp-10h],1 //给 ebp-10h 赋值为1
b1b465da 8975fc mov dword ptr [ebp-4],esi //1参给局部变量 ebp-4
b1b465dd ff151410b5b1 call dword ptr ds:[0B1B51014h] //调用了一个CALL,估计是判断是否是自己的PID
b1b465e3 8bf8 mov edi,eax
b1b465e5 8d45f0 lea eax,[ebp-10h] //取出地址
b1b465e8 50 push eax //这个地址里的值是1,压入1
b1b465e9 b9503ab5b1 mov ecx,0B1B53A50h //这里是个全局变量
b1b465ee e8873a0000 call b1b4a07a
b1b465f3 57 push edi
b1b465f4 e885dcffff call b1b4427e
b1b465f9 85c0 test eax,eax //判断 EAX是否为空
b1b465fb 7406 je b1b46603 //如果EAX为空就跳

b1b465fd c645f001 mov byte ptr [ebp-10h],1//如果EAX不为空,再次给[ebp-10h]赋值为1
b1b46601 eb03 jmp b1b46606

b1b46603 8b75fc mov esi,dword ptr [ebp-4] //1参赋值给ESI

b1b46606 8b4d08 mov ecx,dword ptr [ebp+8] //EBP+8是CALL的返回地址
b1b46609 832100 and dword ptr [ecx],0
b1b4660c 807df000 cmp byte ptr [ebp-10h],0 //比较下是否为0
b1b46610 b8220000c0 mov eax,0C0000022h
b1b46615 8bf8 mov edi,eax
b1b46617 7413 je b1b4662c //突破口就在这里,搞掉这句,让它执行原始的NTopenProcess,这个保护也就过了
b1b46619 837df400 cmp dword ptr [ebp-0Ch],0 比较执行的那个CALL的返回值,如果为0就跳
b1b4661d 740b je b1b4662a

b1b4661f 53 push ebx //如果 [ebp-0Ch]不为0就执行下面的
b1b46620 ff7510 push dword ptr [ebp+10h] //2参
b1b46623 56 push esi
b1b46624 51 push ecx
b1b46625 ff55f4 call dword ptr [ebp-0Ch] //这里执行的原始的NTopenprocess
b1b46628 8bf8 mov edi,eax

b1b4662a 8bc7 mov eax,edi

b1b4662c 5f pop edi
b1b4662d 5e pop esi
b1b4662e 5b pop ebx
b1b4662f c9 leave
b1b46630 c21000 ret 10h

 

病毒木马分析版主补充:hotpatch并不是内核的特征,而且也不是这两行,而是mov edi,edi 加上上面的三个nop。 另:是5个byte,不是字

a949308398
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
win7vtdb.zip_875_vt过驱动保护_vt驱动保护_win7vtdb_过保护
07-15
开启VT调试,过某xxx游戏驱动保护工程源码
Intel VT学习笔记(一)—— 基础知识&支持检测
qq_41988448的博客
02-05 5799
Intel VT学习笔记(一)—— 基础知识&支持检测VT简介VT分类VT作用HypervisorVT实现支持检测cpuidIA32_FEATURE_CONTROL MSRCr0 & Cr4代码实现参考资料 VT简介 VT,就是虚拟化技术(Virtualization Technology)的缩写。Intel VT就是指Intel的虚拟化技术。这种技术简单来说就是让可以让一个CPU工作起来就像多个CPU并行运行,从而使得在一台电脑内可以同时运行多个操作系统。只有部分Intel的CPU才支持
利用Intel VT实现进程保护
andy7002的博客
05-02 8865
Intel VT即Intel公司的Virtualization Technology虚拟化技术, 在硬件级别上完成计算机的虚拟化。为实现硬件虚拟化 ,VT增加了12条新的 VMX指令。VT可以让一个CPU工作起来像多个CPU在并行运行,从而使得在一部电脑内同时运行多个操作系统成为可能。在安全领域,利用VT技术,64位系统的防护可以做到跟32位同级别的强度。 一、vt调试方法 1. 修改vmx文
VT过游戏保护,调试有保护的游戏
01-25
VT过游戏保护,调试有保护的游戏。无视TP,HP,PP。
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
驱动层hook系统服务表,可以用来保护自己的进程不被调速器进行调试,也可以保护进程不被其他进程杀死
易语言源码易语言恢复SSDT驱动源码.rar
02-19
易语言源码易语言恢复SSDT驱动源码.rar 易语言源码易语言恢复SSDT驱动源码.rar 易语言源码易语言恢复SSDT驱动源码.rar 易语言源码易语言恢复SSDT驱动源码.rar 易语言源码易语言恢复SSDT驱动源码.rar 易语言源码...
易语言恢复SSDT驱动
07-21
易语言恢复SSDT驱动源码,恢复SSDT驱动,DriverEntry,驱动通信,DispatchCreateClose,驱动卸载,创建符号链接及设备,Get_KeServiceDescriptorTable_Address,ReadIntByAddr,读内存,写内存,取变量地址,DbgPrint,...
驱动程序保护进程(修改SSDT方式)源码
07-10
typedef NTSTATUS (*ZWOPENPROCESS)( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); NTSYSAPI NTSTATUS ...
win732位ce内核重载,与360保护和T__X保护有冲突,自己卸载掉吧,就可以用了
01-27
win732位ce内核重载,与360保护和T__X保护有冲突,自己卸载掉吧,就可以用了
驱动保护工具(过游戏驱动保护工具)
01-11
驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)过驱动保护工具(过游戏驱动保护工具)
AGP_X64_64VT技术过驱动保护_vt保护_x64驱动_VT_vt过保护
09-11
64位VT驱动 自建立调试体系 通杀所有保护 无限断点
重载内核全程分析笔记(附源码)
08-28
重载内核全程分析笔记(附源码) 还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面临崩溃的边缘。折腾了大半天,终于把代码都下载下来了,可是下载下来做什么呢,自己连看都看不懂 于是,带着激动而又郁闷的心情继续学习内核编程。 由于是初学者,很多时候也有不清楚的地方,若下文中有什么地方理解有误,还请大牛多多指正
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护
07-31
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护 一份 非常不错的源码。。 内核重载了,让所有的SSDT函数全部走自己的路 。爆发式的驱动源码公开。代表了我国民间驱动技术已逐渐成熟,韩国棒子的NP技术终将被完结! 内核重载:内核重载后指定某个程序使用你重载的内核,可以绕过原有内核上面的所有hook
破解XXX游戏驱动保护过程总结
weixin_34418883的博客
07-23 1352
刚刚接触软件破解还有驱动编写,好多东西都不熟,折腾了好久,把中间可能对大家有价值的过程记录下来。    刚开始碰到的问题就是不能内核调试,因为要写驱动,需要用到。一般禁用内核调试都是在驱动里调用KdDisableDebugger,往上回溯一个函数,基本上就是驱动检测禁用是否成功的代码,否则就是一个循环不停的调用KdDisableDebugger函数。   我的做法是修改KdDisableDebug...
Rain Water Algorithm雨水优化算法附matlab代码.zip
最新发布
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
基于springboot+vue的房屋租赁出售系统
04-26
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
杭电-[数据结构(c语言版)]复习题纲杭州电子科技大学.pdf
04-26
杭州电子科技大学,期末考试资料,计算机专业期末考试试卷,试卷及答案,数据结构。
年医院医生个人工作总结.docx
04-26
工作总结,新年计划,岗位总结,工作汇报,个人总结,述职报告,范文下载,新年总结,新建计划。
delphi ssdt
12-14
2. 隐藏进程:通过修改SSDT表项,可以修改系统的进程管理函数,从而实现对进程的隐藏和保护。这对于一些恶意软件的防治非常有用。 3. 反病毒技术:一些激进的反病毒软件会通过修改SSDT来实现对病毒行为的防治,比如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值