KProtect价值3000元的公司级反调试产品还原复现开源

tiangao · tiangao

KProtect价值3000元的公司级反调试产品还原复现开源

0x00 前言
该项目仅仅只是对某总口中价值3000元/月公司级反调试产品 $KProtect 的还原复现
加上少量的代码优化减少了很多硬编码整个项目 Ring0+Ring3 实际功能代码不超过400行

0x01 隐藏进程
原理没什么多说的，基本就是 @xiaofu 所分析的
将 EPROCESS->InheritedFromUniqueProcessId 置为 System
将 EPROCESS->UniqueProcessId 置为 winlogon.exe（其他系统进程皆可）
通过动态获取 InheritedFromUniqueProcessId 和 UniqueProcessId 偏移提高兼容性
值得注意的是，此方法会在低版本 Win7系统任务管理器出现 Bug
现象是 winlogon 的进程会疯狂增加且增加的进程 Pid 为 -1
（仅仅只是任务管理器表项增加实际进程只有一个）
在高版本 Win7 和 Win10 没有此现象

游客，如果您要查看本帖隐藏内容请回复

1aa82e · 1aa82e

什么东西？

hcjnx · hcjnx

看看源码的实现

gg666 · gg666

好好学习天天向上

10000 · 10000

好好学习

210001480 · 210001480

看看

cjlovefree · cjlovefree

感谢分享

a6627450 · a6627450

kan kan shi shen me

yuntang · yuntang

看一看瞧一瞧了谢谢

z083957 · z083957

在高版本 Win7 和 Win10 没有此现象啊

		自动登录	找回密码
密码			立即注册

龙马谷VIP会员办理客服QQ：82926983（如果临时会话没有收到回复，请先加QQ好友再发。）
1 [已完结] GG修改器新手入门与实战教程 31课	2 [已完结] GG修改器美化修改教程 6课	3 [已完结] GG修改器Lua脚本新手入门教程 12课
4 [已完结] 触动精灵脚本新手入门必学教程 22课	5 [已完结] 手游自动化脚本入门实战教程 9课	6 [已完结] C++射击游戏方框骨骼透视与自瞄教程 27课
7 [已完结] C++零基础UE4逆向开发FPS透视自瞄教程 29课	8 [已完结] C++零基础大漠模拟器手游自动化辅助教程 22课	9 [已完结] C++零基础开发DXF内存脚本辅助教程 32课

以下是天马阁VIP教程，本站与天马阁合作，赞助VIP可以获得天马阁对应VIP会员，名额有限！点击进入天马阁论坛
1 [已完结] x64CE与x64dbg入门基础教程 7课	2 [已完结] x64汇编语言基础教程 16课	3 [已完结] x64辅助入门基础教程 9课
4 [已完结] C++x64内存辅助实战技术教程 149课	5 [已完结] C++x64内存检测与过检测技术教程 10课	6 [已完结] C+x64二叉树分析遍历与LUA自动登陆教程 19课
7 [已完结] C++BT功能原理与x64实战教程 29课	8 [已完结] C+FPS框透视与自瞄x64实现原理及防护思路

[C++源码] KProtect价值3000元的公司级反调试产品 还原复现开源

[C++源码] KProtect价值3000元的公司级反调试产品还原复现开源