lol加载的保护不让od附加驱动sys
答案:1 悬赏:60 手机版
解决时间 2021-01-20 05:39
- 提问者网友:龅牙恐龙妹
- 2021-01-19 11:13
lol加载的保护不让od附加驱动sys
最佳答案
- 五星知识达人网友:雾月
- 2021-01-19 12:04
下面我简单看说下以上关键的几个APIHOOK:
1.KiAttachProcess 函数
2.NtReadVirtualMemory
内存函数
3.NtWriteVirtualMemory 内存函数 7
4.NtOpenThread 线程函数
5.NtOpenProcess 进程函数
那么前3个函数是可以直接SSDT恢复的,第4个函数是有监视,如果直接恢复的话电脑会即刻重启.(TP蛮变态)
,第5个函数和ring3有驱动通信,直接恢复这个函数的话 游戏会在1分钟内弹出SX非法模块提示.
其实以上说的这么多限制
都是因为TP保护造成的.其实这些东西研究了很久后,发现其实就是的PIHOOK这方面
既然我们现在知道了TP保护的保护特点和这几个API分析后的结果.
接下来就是要做出相应的解除TP保护(也就是这些APIHOOK) )
.
下面我在梳理一下头绪给出相应的解决方案
1.首先直接恢复 第1、2、3处的SSDT表中的HOOK
2.绕过4、5处的HOOK 不采用直接恢复
3.将TP保护程序中的debugport清零的内核线程干掉 停止该线程继续运行.
4.恢复硬件断点
但是要有一个先后的逻辑顺序
因为内核有一个线程负责监视几个地方,必须要先干掉它。
但是这个内容我写在了处理debugport清零的一起,也就是第3步。所以大家在照搬源码的时候注意代码执行次序。
先从简单的工作讲起,恢复1、2、3处的HOOK
1.KiAttachProcess 函数
2.NtReadVirtualMemory
内存函数
3.NtWriteVirtualMemory 内存函数 7
4.NtOpenThread 线程函数
5.NtOpenProcess 进程函数
那么前3个函数是可以直接SSDT恢复的,第4个函数是有监视,如果直接恢复的话电脑会即刻重启.(TP蛮变态)
,第5个函数和ring3有驱动通信,直接恢复这个函数的话 游戏会在1分钟内弹出SX非法模块提示.
其实以上说的这么多限制
都是因为TP保护造成的.其实这些东西研究了很久后,发现其实就是的PIHOOK这方面
既然我们现在知道了TP保护的保护特点和这几个API分析后的结果.
接下来就是要做出相应的解除TP保护(也就是这些APIHOOK) )
.
下面我在梳理一下头绪给出相应的解决方案
1.首先直接恢复 第1、2、3处的SSDT表中的HOOK
2.绕过4、5处的HOOK 不采用直接恢复
3.将TP保护程序中的debugport清零的内核线程干掉 停止该线程继续运行.
4.恢复硬件断点
但是要有一个先后的逻辑顺序
因为内核有一个线程负责监视几个地方,必须要先干掉它。
但是这个内容我写在了处理debugport清零的一起,也就是第3步。所以大家在照搬源码的时候注意代码执行次序。
先从简单的工作讲起,恢复1、2、3处的HOOK
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯