落笔飞花笑百生的博客

驱动遍历句柄表附加第二个方法的反汇编代码 其中还有对其拦截的方式的一些需要HOOK处比如伪造句柄表因为大量使用硬编码所以此份代码通用性不强一切均在虚拟机XP3下操作#include "ntddk.h"typedef struct _EX_PUSH_LOCK { // // LOCK bit is set for both exclusive and shared acq

NTSTATUS __fastcall proxyNtCreateDebugObject(        OUT PHANDLE DebugObjectHandle,        IN ACCESS_MASK DesiredAccess,        IN POBJECT_ATTRIBUTES ObjectAttributes,        IN ULONG Flags 

很久没有发帖子了~~~  上次一个哥们 一字节anti callbacks 其实还有更多地方哦~~~但是这样 还是不够的  这次 一字节 anti 创建进程线程回调~~~pspexitthread:loc_140355BB8:xor     r8d, r8dxor     edx, edxmov     rcx, rdical

序：我只想说~~再不发帖老大就 不搭理我了~~~原因：玩保护玩到了 XINGCODE3 就他的各种检测就让我不得不重视这个问题了:o:各种窗口 各种X 我的工具 让我忍无可忍，就决定先HOOK了在说其他 最开始我用TA 的代码里面的 HOOK 方法 在 挂钩 NT 内核中的函数算是无往不利 在SHADOWSSDT中就蛋疼菊花紧了~~于是 开始自己搞:mad::mad:

kd> dt nt!_KIDTENTRY64 @idtr + @@(sizeof(nt!_KIDTENTRY64))   +0x000 OffsetLow        : 0x44c0   +0x002 Selector         : 0x10   +0x004 IstIndex         : 0y000   +0x004 Reserved0        : 0y0

废话不多少 我做HOOK引擎遇到的事儿~~~先看一下代码 ，里面有详细地址.text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near     ; DATA XREF: .text:FFFFF97FFF0D20E0o.text:FFFFF97FFF072744                                 

老生常谈的枚举那些就 不说了说一些 很少有人处理的POINT pt;GetCursorPos(&pt);  hd=WindowFromPhysicalPoint(pt);    if (hd!=NULL)    {      GetWindowTextA(hd, text, 260);      printf("text :%s \n",text);    

内核层:3个内核线程用于不停的恢复THREAD PROCESS-CALLBACK 直接1字节anti会开启不了驱动 这里比以前的TP好点儿              CALLBACK里面抹去了句柄的读写内存权限 导致OD看不见进程 CE搜不了内存             反附加 三个驱动里面改了线程暂停位的反附加线程 导致OD附加 游戏直接消失 还有僵尸进程

在逆几个内核函数的时候~原本在虚拟机内跑的飞起的代码 真机直接GG我自然百思不得其解，我虚拟机和真机 都是用的同一个镜像 还是从微软官方下载的纯净7601 sp1系统 虚拟机内正常 真机就GG 我就对着 IDA和虚拟机看！eprocess结构正常没变动 ethread结构从成员cid上面就多了不知干啥的八字节。。 于是我就卸载了  真机上的 100多个补丁 这可也能是部分客户 机器蓝屏的原因吧

我只是 截了 我代码中的 关键片段~至于 详细的 你们自己想VOID T_KiRestoreDebugRegisterState(){        PEPROCESS Process=NULL;        PETHREAD Thread=NULL;        PPROCESS_List PlIST = NULL;;        PTHREAD_dr_List

typedef struct _SEGMENT{ /*(*((ntkrnlmp!_SEGMENT *)0xffffa405114286d0))[Type:_SEGMENT]  [+0x000] ControlArea      : 0xffffd18b3276d370[Type:_CONTROL_AREA *]  [+0x008] TotalNumberOfPtes : 0xa[Typ

NTSTATUS __fastcall proxyNtDebugActiveProcess(HANDLE ProcessHandle, HANDLE DebugObjectHandle){        PMY_OBJECT_TYPE object;        PMY_OBJECT_TYPE debugobject;        OBJECT_HANDLE_INFORMATION

不废话 直接防码 补充代码有网了:【分享】x64 antidebug 不触发PG http://bbs.pediy.com/showthread.php?p=1385028#post1385028有个BUG  如果 移出的目标有线程退出  那么 我的 系统线程就挂了   目测是枚举函数的 问题 这个   我就 不解决了   退出不蓝屏因为 有 了新的 解决办法  这个 就扔掉了

#include "ntddk.h"#include "windef.h"#pragma pack(2)typedef struct _IDTR{USHORT numberofidt;ULONG highaddress;}IDTR ,*PIDTR;#pragma pack()typedef struct _KTRAP_FRAME{UL

#include "ntddk.h"#include typedef struct _IMAGE_DOS_HEADER {      // DOS .EXE headerWORD   e_magic;                     // Magic numberWORD   e_cblp;                      // Bytes on last

//虽然现在对很多程序的注入都一点儿问题 ，不过一般的程序还是能注入的 最好建议使用zwCreateThreadEX来注入 好处你懂的= =我修正了判断EXE名字 因为 直接用PsGetImageFileNmae 会获取名字不完整因为某结构中只保存了16 char的 内容 不同系统 还不一样= = 所有就用这个 还有就是 卸载驱动会蓝屏= =因为 系统在回调数组中找到了指向我们这里回调函数

#include  typedef struct _KSYSTEM_SERVICE_TABLE {   PULONG  ServiceTableBase;        // SSDT (System Service Dispatch Table)的基地址    PULONG  ServiceCounterTableBase; // 包含 SSDT 中每个服务被调用

博客搬家到优快云因为百度云关门了

#include "ntddk.h"//#include "Ntifs.h"//PVOIDNTSTATUS PsSetLoadImageNotifyRoutine( PLOAD_IMAGE_NOTIFY_ROUTINE NotifyRoutine);NTSTATUS PsRemoveLoadImageNotifyRoutine(__in PLOAD_IMAG

#include "ntddk.h"void PageProtectOff();void PageProtectOn();#pragma pack(1)typedef struct ServiceDescriptorEntry {unsigned int *ServiceTableBase;unsigned int *ServiceCounterTableBase;

这个代码可以在WIN8.1上面跑的  测试成功 自己测试的时候呢 把ObInsertObjectEx,DbgkDebugObjectType替换一下 最后用符号连接就完美了这个不像昨天的那个伪代码 这个可以跑的 我跟着调试了一遍代码也是没有用IDA了  IDA太坑NTSTATUS NTCreateDebugObject(OUT PHANDLE DebugObjectHandle

ULONG64 onlythisfile_SreachFunctionAddress(ULONG64 uAddress, UCHAR *Signature, ULONG addopcodelength, ULONG addopcodedatasize){ULONG64 index = 0;UCHAR *p = 0;ULONG64 uRetAddress = 0;UL

想了很久还是发上来吧，烂在硬盘里面没用，共享既是进步~前排感谢在我学习Intel-VT技术困难的时候各位朋友的帮助Tesla.Angela有人吗？cvcvxkviphacksxppKalong 以及国外友人asamy以上排名不分先后这份代码在WIN7 64 打了补丁的情况下能正常工作 不打补丁需要对THREAD的结构体做个修改 才可以正常运行代码部分：这