绕过nProtect[NP]读写受保护进程内存

绕过nProtect[NP]读写受保护进程内存

2008-10-30 13:28

这几天一直在研究NP，话说NP是这个世界上最WS，最恶心的东东之一，关于内存，他HOOK了以下函数 NtOpenProcess -inline NtReadVirtualMemory-inline NtWriteVirtualMemory-inline KeAttachProcess-inline KiAttachProcess- inline KeStackAttachProcess -inline 1，首先试着恢复下INLINE，NP重启... 2，那再试下修改inline指向的np驱动(dump_wmimmc.sys)中的代码，游戏重启.... 3，看样子他修改过的代码都被监视了，那不动他的代码 4，修改SSDT，把NtOpenProcess换成自己的代码，在函数头实现原NtOpenProcess的前几个字节，再跳回原NtOpenProcess，这样 NtOpenProcess的inline就失效了，试了下，效果很好，不过，据wowocock大牛说，这东东的最新版本会监视SSDT，呃。。。那就 不爽了 5，那试下自己实现NtOpenProcess跟NtRead/Write，调用自己的KeAttachProcess来读内存，效果不错 下面读泡泡主进程CA.exe的ntdll.dll开始字节: 呵呵，读成功了，开始字节是标志"MZ".............