文件名称:易语言-易语言驱动 过保护 内核重载 钩子扫描 DPC
文件大小:222KB
文件格式:ZIP
更新时间:2024-07-15 11:35:01
易语言例程
我还是要解释下 SK 的作用: 比如我写了一个识图算法 识图之前我先要拿到窗口的图像 那么假如可以调用PrintWindow 但是我也可以调用SK的PrintWindow类似的函数达到系统函数的效果 SK的函数可以绕过所有Hook并且增加逆向分析的难度 但是 要知道 你关键的核心代码 功能代码 是识图算法的 !!! 算法 !!! 并不是 你在SK调用的PrintWindow类似的函数 另外我本身很早很早 long long ago 用易语言很少了 所以慢慢来爆料 因为很少用E SK目前最新的都是C++版本 支持x86和x64全系统 另外因为内核驱动原因SK有SK的内核版本SKD 论坛那个人发的CPP代码就是用了内核版本的SK的SKD 另外 WonderWall是一直准备重写的 但是没时间 关于变量的支持 完整的单步调试等等其实早已都是分析完了 没有太多时间动工 近期可能完全重新动工 C++完全重写 还要看时间 毕竟要活着 再提个事情 重要的是解决方法和思路 WW没开源之前 论坛已经有其他汇编插件 并且就是逆向的WW的方法 没见别人没代码 也不能搞出来对吧? 另外 关于模块反编译问题 在WW第一个版本发布的时候 3年前? 我给吴老大提过这个事情 他不信 = =那就算了呗 这个开源的是易语言的驱动 请不要拿去直接编译 里面代码 也有很多错误 和值得思考的地方 毕竟这里面很多东西 写的比较早了 这个易语言驱动源码是纯源码 主要支持win7 sp1和xp sp3 实现的功能有: 动态汇编类 重载内核 内核任意位置InlineHook的类 任何函数自动重定位 各种未导出函数的查找 内核调试结构KiDebugRoutine的欺骗和转向 IDT的枚举和恢复 GDT的枚举 IOTimer的枚举 使用 和 卸载 DCPTimer的枚举 内核InlineHook的扫描 (跟XUETR那个内核钩子扫描一样) 内核有效地址判断的实现 TP GPK HS NP等保护的处理 TP IO通信算法的逆向 各种Image Create回调的枚举和删除 等等... 还有好多 自己发现吧 其中用到了一个LIB(MyDriverLib) 因为易语言异常处理太扯蛋 所以C++的封装而已 你不懂 我也没办法了
【文件预览】:
PassGameProtectByBaby
----PassGameProtectByBaby.e(753KB)
----MyDriverLib.lib(116KB)