NP用户层监视原理

最新推荐文章于 2021-07-07 21:39:09 发布
最新推荐文章于 2021-07-07 21:39:09 发布
阅读量221 收藏
点赞数
分类专栏: 各种底层
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/st_weicr/article/details/84165128
版权

NP启动后通过WriteProcessMemory跟CreateRemoteThread向所有进程注入代码(除了系统进程smss.exe),代码通过np自己的LoadLibrary向目标进程加载npggNT.des。npggNT.des一旦加载就马上开始干“坏事”,挂钩(HOOK)系统关键函数如OpenProcess,ReadProcessMemory,WriteProcessMemory,PostMessage等等。挂钩方法是通过改写系统函数头,在函数开始JMP到npggNT.des中的替换函数。用户调用相应的系统函数时,会首先进入到npggNT.des模块等待NP的检查,如果发现是想对其保护的游戏进行不轨操作的话,就进行拦截,否则就调用原来的系统函数,让用户继续。

 

C下面是NP启动前user32.dll中的PostMessageA的源代码(NP版本900,XP sp2)

 

8BFF MOV EDI,EDI

55 PUSH EBP

8BEC MOV EBP,ESP

56 PUSH ESI

57 PUSH EDI

8B7D 0C MOV EDI,DWORD PTR SS:[EBP+C] 6 o; B/ {: W  l# {# R; Z  k; K
8BC7 MOV EAX,EDI
SUB EAX,145 

 

以上是头几下,而下面是NP启动后user32.dll中的PostMessageA的源代码(NP版本900,XP sp2)

E9 A69AB8CD JMP npggNT.458A6630

56 PUSH ESI 7 G1 u% T. u/ f4 r7 @+ B. w
57 PUSH EDI
8B7D 0C MOV EDI,DWORD PTR SS:[EBP+C] , U

8BC7 MOV EAX,EDI !

2D 45010000 SUB EAX,145

 

通过对比我们可以发现,NP把PostMessageA函数头原来的8BFF558BEC五个字节改为了E9A69AB8CD,即将

MOV EDI,EDI

PUSH EBP

MOV EBP,ESP

三条指令改为了JMP npggNT.458A6630。所以用户一旦调用PostMessageA的话,就会跳转到npggNT.des中的458A6630中去。

st_weicr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
NPHPHS保护读内存与后台按键VB源码
12-12
VB编写源代码 PostMessage后台过游戏NP保护 读取保护程序内存值
NP监视原理(+Bypass NP in ring0
04-26 1872
标 题: 【原创】反NP监视原理(+Bypass NP in ring0)作 者: 堕落天才时 间: 2007-01-03,11:58链 接: http://bbs.pediy.com/showthread.php?t=37353NP=nProtect GameGuard(如果你不知道这是什么,请不要往下看)********************************************标
如何在NP下读写游戏内存及如何进入NP进程
05-19 1585
标 题: 【原创】如何在NP下读写游戏内存及如何进入NP进程作 者: 堕落天才时 间: 2007-01-04,13:28链 接: http://bbs.pediy.com/showthread.php?t=37417*******************************************************标题:【原创】如何在NP下读写游戏内存及如何进入NP进程 **作者:堕落天
np.dot函数
youmayangguang的博客
12-15 2万+
dot函数是np中的矩阵乘法, x.dot(y) 等价于 np.dot(x,y) x是m*n 矩阵 ,y是n*m矩阵 则x.dot(y) 得到m*m矩阵   矩阵乘法的应用实例如下:   数据统计 某公司有四个工厂,分布在不同地区,同时三种产品,产量(单位;t),试用矩阵统计这些数据。 工厂\产品 P1 P2 P3 甲
NP方法一
ccx_john的专栏
01-25 8045
现在使用的NP系统已经和刚开始时使用的进步了很多,早期的NP可以直接用汇编把关键跳修改从而跳过NP监视,而现今使用的NP还挂钩了很多内核函数,所以很多关键系统函数就算我们在使用者能跳过,后期也将使得游戏无法运行,所以直接跳过肯定不行,所以就开始考虑,如果我们不破解NP前提下读写游戏记忆体该怎么办?我知道方法主要有两种,一种是基于底的调用驱动,模拟为系统驱动去调用内存,可以躲过NP的监视,因为这
NP监视原理
12-27
关于TP保护的原理和过保护, NP启动后通过WriteProcessMemory跟CreateRemoteThread向所有进程注入代码(除了系统进程smss.exe),代码通过np自己的LoadLibrary向目标进程加载npggNT.desnpggNT.des一旦加载就马上...
Pyqt QImage 与 np array 转换方法
09-19
今天小编就为大家分享一篇Pyqt QImage 与 np array 转换方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
numpy np.newaxis 的实用分享
09-18
今天小编就为大家分享一篇numpy np.newaxis 的实用分享,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
P问题与NP问题的关系
01-07
P问题与NP问题的关系 定理5.P⊆NPP \subseteq NPP⊆NP. 即,所有的P问题都是NP问题。当一个问题是P问题时,我们可以在多项式时间内求出问题的解。若要验证一个解(记为t1)是否正确时,只需使用多项式时间求解出这个...
NP 1.0.9.0.exe
07-26
dll加密/反编译工具数据库加密工具,快速加密
linux 系统/用户资源使用信息监控
weixin_30525825的博客
06-14 90
背景:真实场景下的资源使用信息会被记录并整理成trace,根据有影响力的公司公布出来的trace还原该场景下的资源特征可帮助学术届进一步研究优化.首先,目标是还原目标trace中的资源使用特征,就得对平台的资源进行监控,本文实验环境:Ubuntu16.04,使用sar进行所需资源的监控. sar -u 1 10 这个指令是对cpu资源使用特征进行监控,每隔1s输出监控信息,共10...
Python --- Numpy 创建n维数组基本方法
CGJustDoIT的博客
10-28 2万+
Python Numpy 创建n维数组基本方法 编程环境 Python3.7 + Pycharm <class ‘numpy.ndarray’> 通过 mat() / array()相互转换 <class ‘numpy.ndarray’> 1. numpy.array() import numpy as np A1 = np.array([1,2,3]) ...
突破NP屏蔽,实现按键模拟!
fengfengfengmy的专栏
05-09 1万+
突破NP屏蔽,实现按键模拟! nProtect GameGuard、XTRAP是两款比较著名的防作弊软件,在玩家使用外挂(无论任何游戏的外挂,就算不是当前游戏的外挂也不可以)的时候 会提示"检测到游戏被破解修改"并强行关闭游戏。 什么是nProtect? nProtect是设计用于保护个人电脑终端不被病毒和黑客程序感染的新概念的基于网络的反黑客和反病毒的工具。他帮助确保所有输入个人电脑 终端的信息
NumPy用户指南(2)——安装NumPy
热门推荐
mighty13的专栏
07-07 3万+
此系列文章参照NumPy官方用户指南1.2.1版本进行翻译、解读(直译说不清楚的可能会加入自己的一些理解)。 安装NumPy 安装NumPy的唯一必备条件就是已经安装了Python 。如果还没有安装Python,想用最简单的方式安装NumPy,我们推荐使用Anaconda 发行版,它包含了Python、 NumPy以及其他Python科学计算和数据科学常用的包。 NumPy可以使用conda、 pip、 macOS 和 Linux的包管理器或者源码进行安装。具体命令可参考下方的Python 和 NumPy安
绕过所有用户HOOK
crkres9527
10-08 990
A、分析API函数原理    B、自写API函数    C、SYSENTER指令    D、硬编码_emit    E、模拟FindWindow函数    PUNICODE_STRING MOV EAX,117A 7C92E510 >  8BD4            MOV EDX,ESP 7C92E512    0F34            SYSENTER   ...
逆向NP之注入npggNT.des
晓斌的博客
05-11 2161
标 题: 逆向NP之注入npggNT.des作 者: 堕落天才时 间: 2007-02-01,21:41链 接: http://bbs.pediy.com/showthread.php?threadid=38939NP=nProtect GameGuard************************************************************************
后端开发是一个涉及广泛技术和工具的领域.docx
最新发布
04-30
后端开发是一个涉及广泛技术和工具的领域,这些资源对于构建健壮、可扩展和高效的Web应用程序至关重要。以下是对后端开发资源的简要介绍: 首先,掌握一门或多门编程语言是后端开发的基础。Java、Python和Node.js是其中最受欢迎的几种。Java以其跨平台性和丰富的库而著名,Python则因其简洁的语法和广泛的应用领域而备受欢迎。Node.js则通过其基于JavaScript的单线程异步I/O模型,为Web开发提供了高性能的解决方案。 其次,数据库技术是后端开发中不可或缺的一部分。关系型数据库(如MySQL、PostgreSQL)和非关系型数据库(如MongoDB、Redis)各有其特点和应用场景。关系型数据库适合存储结构化数据,而非关系型数据库则更适合处理大量非结构化数据。 此外,Web开发框架也是后端开发的重要资源。例如,Express是一个基于Node.js的Web应用开发框架,它提供了丰富的API和中间件支持,使得开发人员能够快速地构建Web应用程序。Django则是一个用Python编写的Web应用框架,它采用了MVC的软件设计模式,使得代码结构更加清晰和易于维护。
华为数字化转型实践28个精华问答glkm.pptx
04-30
华为数字化转型实践28个精华问答glkm.pptx
np.meshgrid函数的计算原理
12-11
np.meshgrid函数用于生成网格点坐标矩阵,其计算原理如下: 1. 首先,将输入的一维数组进行扩展,得到一个二维数组,其中每一行都是输入数组的一个副本。 2. 然后,将这个二维数组沿着第二个维度进行转置,得到一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值