逆向DNF木马,编写DNF木马生成器
2009-11-15 19:15:21 阅读793 评论1 152009/11 Nov15
这些时间搞了个DNF木马生成器,分享出来,没有什么技术含量,忘大牛们不要见笑
过程比较简单,没有详解,需要读者自己去琢磨,详情见源代码
11月9日,偶然得到一个DNF木马样本
拿到样本第一反应就是搞个生成器出来,可公司在项目上催得紧,只好放下
11月10日,突然想起昨天的木马样本,拿出来用OD一看,好似加壳了
0040DEEA > 60 PUSHAD
0040DEEB E8 09000000 CALL 1.0040DEF9
0040DEF0 68 DD0000E9 PUSH E90000DD
MS08052 GDI+ GIF.txt
2008-10-20 14:53:13 阅读40 评论0 202008/10 Oct20
------------------------------------------------------------------------------------------------------------
Operating System: XP SP2
Gdiplus.dll Version: 5.1.3102.2180
Credit:
John Smith,
Evil Fingers
GIF Template Reference: http://www.sweetscape.com/010editor/templates/files/GIFTemplate.bt
腾讯系列游戏TesSafe.sys保护研究
2008-8-11 3:05:57 阅读2332 评论1 112008/08 Aug11
163这blog文章的格式太差了,不爽,我喜欢安全焦点那样的格式,希望163能在格式上放宽些
最近时间有些多,一时对网络游戏的保护机制感兴趣了,来研究了一下,听说QQ系列的TesSafe.sys 有些强,于是拿来看看驱动都做了些什
么.以下是对DNF和QQffo(自由幻想)研究结果(xp sp2)
在网上找了些TesSafe的资料,说TesSafe并不怎么样
现在这个版本保护的结果为:任务管理器中可以看到游戏进程,但OD和CE看不见,更不用说什么调试了,iceword可以看到EPROCSS,但WSysCheck看
不见,自己写程序,也不能注入受保护的游戏进程.
可见,NtOpenProcess被Hook了,恢复SSDT后,没有任何效果,可见是inline hook ,
ObjectType HOOK干涉注册表操作(bypass Icesword,gmer,NIAP,etc.)
2008-8-11 2:05:52 阅读98 评论0 112008/08 Aug11
创建时间:2008-02-11
文章属性:原创
文章提交:MJ0011 (tyjaaa_at_163.com)
比较老的东西了,但好象知道的人还是不多,随便介绍一下
来看ObOpenObjectByName,它会调用ObpLookupObjectByName来打开一个对象
对象头(object_header)有一个object type结构
object type结构里有一个TypeInfo,结构是OBJECT_TYPE_INITIALIZER
typedef struct _OBJECT_TYPE_INITIALIZER {
绕过Copy-On-Write机制安装全局Hook
2008-8-11 2:03:59 阅读79 评论0 112008/08 Aug11
创建时间:2005-10-22
文章属性:原创
文章提交:Addylee (Addylee2004_at_163.com)
Jeffrey Richter在他的<<widows核心编程>>一书中对Ring 3级的API Hook方法做了详细的介绍,但是一般的Ring 3无论是修改IAT,还是插入JMP XXX都将导致Copy-On-Write的发生,如果,要在系统范围内安装一个全局的Hook的话,就不得不枚举系统中所有进程,对所有进程中的相应模块做同样的修改,这样以来,对系统性能,是有一定的负面影响的。另一方面,如果要做系统范围内的全局Hook的话,可以直接在Ring 0级通过Hook系统调,修改目标API的指令等方法实现。但是,代码在Ring 0的地址空间中,Ring 3环境下的程序无法直接调用。