首页
论坛
课程
招聘
[讨论]反劲舞3.1 HShield 的问题
2007-8-15 12:58 11761

[讨论]反劲舞3.1 HShield 的问题

2007-8-15 12:58
11761
郁闷了,以前的方法都不能用了!

就GetPixel饶法来说

1.修改自己程序不让EhSvc.dll等DLL挂钩自己的程序
  可是现在HShield都在驱动级拦截服务SDT,所以应用层对抗没意思了

2.用汇编自己写GETpixel
function xiaocall(x1,x2,x3:DWORD):DWORD;
asm
mov     eax, $10BF
mov     edx, $7FFE0300
call    dword ptr [edx]
ret    $0C
end;

function GetPixelA(DC: HDC; X, Y: Integer): COLORREF;stdcall
asm
push    ebx
mov     ebx, dword ptr [ebp+$8]
mov     eax, ebx
push    edi
and     eax, $0FFFF
or      edi, $FFFFFFFF
cmp     eax, $10000
jnb     @@2
shl     eax, $4
add     eax, dword ptr [$77F33000]
cmp     byte ptr [eax+$A], 1
jnz     @@2
mov     ecx, ebx
shr     ecx, $10
cmp     word ptr [eax+$8], cx
jnz     @@2
mov     ecx, dword ptr [eax+$4]
and     ecx, $FFFFFFFE
cmp     ecx, dword ptr [$77F33004]
jnz     @@2
push    esi
mov     esi, dword ptr [eax+$C]
test    esi, esi
je      @@1
push    dword ptr [ebp+$10]
push    dword ptr [ebp+$C]
push    ebx
call    xiaocall
mov     edi, eax
mov     eax, dword ptr [esi+$5C]
@@1:
pop     esi
@@2:
mov     eax, edi
pop     edi
pop     ebx
end;

  可是现在HShield都在驱动级拦截服务SDT,所以应用层对抗没意思了
3.用BITMAP实现
function GetPixelEx(DC: HDC; X, Y: Integer): COLORREF;stdcall
label
js;
var
p:pRGBArray;
yansebmp:TBitmap;
begin
try
  Result:=$FFFFFFFF;
  yansebmp:=TBitmap.Create;
  IF not Assigned(yansebmp) then Exit;
  yansebmp.PixelFormat:=pf24bit;

  yansebmp.Height:=1;
  yansebmp.Width:=Screen.Width;

  BitBlt(yansebmp.Canvas.Handle,           //目标dc,也就是Image1的dc
                  0,                                                     //复制到Image1的x   =   0处
                  0,                                                     //复制到Image1的y   =   0处
                  1,                             //复制Image1->Width这么宽
                  1,                           //复制Image1->Height这么宽
                  DC,                                     //源dc
                  x,                                                     //从桌面的x   =   0处开始复制
                  y,                                                     //从桌面的y   =   0处开始复制
                  SRCCOPY                                           //指定为直接复制过去,不做处理
                  );
  p:=yansebmp.ScanLine[0];
  Result:=RGB(p[0].rgbtRed,p[0].rgbtGreen,p[0].rgbtBlue);
  yansebmp.free;
  Form1.Panel1.Color:=Result;
  exit;
except

end;
Result:=$FFFFFFFF;
yansebmp.free;
end;
消耗CPU太厉害不说,现在也只对GETDC(0)的场景有效 其他也被驱动层拦截了

4.HOOK程序  劲舞团本身的程序里实现GETPIXEL 因为劲舞3.0版本以及以前版本,对自己进程是放行的,现在3.1版本也不能用此漏洞了!

5.Rootkit 方法  我把自己的进程链从物理内存里删掉  以前老版本可以用 现在新版本也不成了

6.驱动对抗  驱动不怎么精通 以前写个修复SDT的  但是没用!现在想不出什么好的办法来实现GETPIXEL  跪求点子

【看雪培训】《Adroid高级研修班》2022年夏季班招生中!

收藏
点赞0
打赏
分享
最新回复 (14)
雪    币: 203
活跃值: 活跃值 (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
娃娃[CCG] 活跃值 2007-8-15 13:15
2
0
来晚了。。  就看不到了。。。
现在还是有用就不发了。。。
雪    币: 106
活跃值: 活跃值 (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
bujin888 活跃值 4 2007-8-15 15:50
3
0
这个没什么用了哦
雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
gspyg 活跃值 2007-8-15 18:12
4
0
娃娃?
雪    币: 203
活跃值: 活跃值 (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
娃娃[CCG] 活跃值 2007-8-15 20:09
5
0
跟了一下 还是有用的  多了个检查而已。
为啥非要取点呢?  直接修改判断不是更好吗?
雪    币: 106
活跃值: 活跃值 (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
bujin888 活跃值 4 2007-8-16 09:38
6
0
娃娃 可以加你QQ吗?
雪    币: 246
活跃值: 活跃值 (11)
能力值: ( LV13,RANK:410 )
在线值:
发帖
回帖
粉丝
Isaiah 活跃值 10 2007-8-16 22:34
7
0
晕。不要被AnLAB的的看见。。
Hs的功能向NP看齐了。貌似现在功能上差距很小了。差距只是效验上了。
雪    币: 211
活跃值: 活跃值 (15)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
十三少 活跃值 2 2007-8-16 23:26
8
0
Hackshiled 后来的版本越来越NB了,尽学NP。
雪    币: 106
活跃值: 活跃值 (26)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
bujin888 活跃值 4 2007-9-1 18:22
9
0
哎 没办法了吗?
雪    币: 219
活跃值: 活跃值 (59)
能力值: ( LV13,RANK:530 )
在线值:
发帖
回帖
粉丝
foxabu 活跃值 13 2007-9-1 18:31
10
0
注入进去试试?总不能够拦截自己吧。
雪    币: 356
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
stupidass 活跃值 2007-9-3 10:21
11
0
这话说的有问题哦?驱动层难道是NP的专利?
况且据我所知,HS比NP先利用驱动层钩子对进程进行保护。只不过一直以来HS走的基本上还算正道,包括XTRAP也是,NP确越走越邪。不把注意力放到技术层次,转而利用一些取巧的东西。
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xiaohuaigx 活跃值 2007-9-5 09:53
12
0
只能证明NP够聪明。
你要做的只是比他更聪明。
自己写驱动吧
雪    币: 14
活跃值: 活跃值 (60)
能力值: ( LV9,RANK:490 )
在线值:
发帖
回帖
粉丝
NetRoc 活跃值 12 2007-9-7 11:34
13
0
其实都很蠢,嘿嘿
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
北方滴狼 活跃值 2007-9-8 07:35
14
0
ring0?
雪    币: 213
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
xionw 活跃值 2007-12-12 16:03
15
0
全是高手啊,这么复杂的问题真牛
游客
登录 | 注册 方可回帖
返回