這幾天一直在研究NP,話說(shuō)NP是這個(gè)世界上最WS,最惡心的東東之一,關(guān)于內(nèi)存,他HOOK了以下函數(shù)
NtOpenProcess -inline
NtReadVirtualMemory-inline
NtWriteVirtualMemory-inline
KeAttachProcess-inline
KiAttachProcess- inline
KeStackAttachProcess -inline
1,首先試著恢復(fù)下INLINE,NP重啟...
2,那再試下修改inline指向的np驅(qū)動(dòng)(dump_wmimmc.sys)中的代碼,游戲重啟....
3,看樣子他修改過(guò)的代碼都被監(jiān)視了,那不動(dòng)他的代碼
4,修改SSDT,把NtOpenProcess換成自己的代碼,在函數(shù)頭實(shí)現(xiàn)原NtOpenProcess的前幾個(gè)字節(jié),再跳回原NtOpenProcess,這樣 NtOpenProcess的inline就失效了,試了下,效果很好,不過(guò),據(jù)wowocock大牛說(shuō),這東東的最新版本會(huì)監(jiān)視SSDT,呃。。。那就 不爽了
5,那試下自己實(shí)現(xiàn)NtOpenProcess跟NtRead/Write,調(diào)用自己的KeAttachProcess來(lái)讀內(nèi)存,效果不錯(cuò)
下面讀泡泡主進(jìn)程CA.exe的ntdll.dll開(kāi)始字節(jié):
呵呵,讀成功了,開(kāi)始字節(jié)是標(biāo)志"MZ".............