壳会不会hook ring0 函数？过了驱动后什么情况下还需要脱壳？请前辈赐教！

yinxingwei · 发表于 2012-4-6 19:29:22

看了那个“用xt恢复ring3解决过驱动后掉线”贴后，有感！
1.反驱动后，强壳是不是会自校验被恢复ring0的函数？
2.过了驱动保护后再去恢复ring3函数，是不是会被强壳自校验？
3.在ring0过了反汇编反调试保护后，是不是意味着解决了壳的反调试与反汇编与汇编？
4.我学了反驱动原理，但对壳的原理细节还没理解透，请前辈赐教！:$

yinxingwei · 发表于 2012-4-9 07:21:42

回复 2# 雨夜
您对第3个问题的回答，都要过，是不是意味着要脱壳？

yinxingwei · 发表于 2012-4-9 06:36:26

回复 2# 雨夜

感谢前辈，指点，今天修改了ntdll,里面传进来的eax，发现蓝屏了，而ntkrnlpa.exe用od我打不开，有好多闲置的内核函数。如果修改ntdll后又在这些闲置的地址上转到有用的地址，那岂不事情很美！！

yinxingwei · 发表于 2012-4-9 06:35:54

本帖最后由 yinxingwei 于 2012-4-9 08:52 编辑

:hug:感谢前辈，指点，今天修改了ntdll,里面传进来的eax，发现蓝屏了，而ntkrnlpa.exe用od我打不开，有好多闲置的内核函数。如果修改ntdll后又在这些闲置的地址上转到有用的地址，那岂不事情很美！！:$发现自己天才了，哈哈后，哈哈哈，哈哈

雨夜 · 发表于 2012-4-7 08:31:26

1. 自校验只检查游戏进程本身，壳没权限干不了ring层的事。
2. 过了驱动保护直接恢复ring3函数，强壳对此不检查。
3. 驱动在ring0层，壳在ring3层，不同，都需要过。

		自动登录	找回密码
密码			注册账号

壳会不会hook ring0 函数？过了驱动后什么情况下还需要脱壳？请前辈赐教！

哈哈，发现这个思路很好，可以过掉所有驱动。嘿嘿