QQ游戏系列(寻仙,DNF等等)驱动保护TesSafe.sys
QQ游戏系列(寻仙,DNF等等)驱动保护TesSafe.sys &V~l(1
1.用RKU看一下SSDT和SSDTShadow,发现SSDT并没有被HOOK,SSDTShadow HOOK了5个调用: !dGu0wE
NtUserBuildHwndList kD;pj3o&"2
NtUserFindWindowEx $57b. +2n
NtUserGetDC *n E kbI/
NtUserGetDCEx ,I5SAd|dX
NtUserGetForegroundWindow rqmb<# Z
想也不用想,肯定是为了防止其他软件找到他的窗口。 4RtAwB
解决方法:在TesSafe加载前先加载自己的驱动,备份这5个调用的地址,等TesSafe加载后直接还原即可,或者直接用RKU还原,TesSafe并没有在这里加效验,所以比较容易。 0]
2.既然SSDT没有没HOOK,那么肯定有inline hook,用windbg看一下,发现被inline hook的调用有如下几个: RM `qC
NtReadVirtualMemory _,T 4DS6
NtWriteVirtualMemory ;mk[!
NtOpenProcess + 0x2xx Call ObOpenObjectByPointer处 i}DS+~8v
NtOpenThread + 0x1xx Call ObOpenObjectByPointer处 '{jr9Vh
KiAttachProcess l^Rb%?4Z
解决方法: tWIJ,_8l
(1). //FT.e6
NtReadVirtualMemory )|lxzlk
NtWriteVirtualMemory _2!8,MX
这2个比较好解决,自己写2个调用,实现这2个调用的头10个字节,然后再跳转到这2个调用头10个字节后面的地址,再到SSDT表里把这2个调用地址改成我们自己的即可。 22CET9iCe
(2). Zj_2>A
NtOpenProcess + 0x2xx Tf86CH=)5
NtOpenThread + 0x1xx P"Al*{:J
在TesSafe加载前,先保存ObOpenObjectByPointer的地址(或者用MmGetSystemRoutineAddress获取),然后我们自己写一段代码,实现Call ObOpenObjectByPointer头N个字节(随便自己)以及Call ObOpenObjectByPointer,然后再jmp到Call ObOpenObjectByPointer后面的代码地址,如: -BSdrP|
push eax +P2oQ_Fk`9
QQ游戏系列(寻仙,DNF等等)驱动保护TesSafe.sys相关推荐
- 搞定QQ游戏系列(寻仙,DNF等等)驱动保护TesSafe.sys
1.用RKU看一下SSDT和SSDTShadow,发现SSDT并没有被HOOK,SSDTShadow HOOK了5个调用: NtUserBuildHwndList NtUserFindWindowEx ...
- 过NP 系列之一---搞定QQ游戏系列(寻仙,DNF等等)驱动保护TesSafe.sys
1.用RKU看一下SSDT和SSDTShadow,发现SSDT并没有被HOOK,SSDTShadow HOOK了5个调用: NtUserBuildHwndList NtUserFindWindowEx ...
- 过 DNF TP 驱动保护(一)
文章目录: 01. 博文简介: 02. 环境及工具准备: 03. 分析 TP 所做的保护: 04. 干掉 NtOpenProcess 中的 Deep InLine Hook: 05. 干掉 NtOpe ...
- 【梅哥的Ring0湿润插入教程】第一课Windows内核/驱动编程概述及应用、商业驱动保护软件原理分析...
[梅哥的Ring0湿润插入教程] Email:mlkui@163.com 转载请注明出处,谢绝喷子记者等,如引起各类不适请自觉滚J8蛋! 第一课Windows内核/驱动编程概述及应用. 商业驱动保护软 ...
- 过TP保护与解除游戏驱动保护
TP 是国内腾讯游戏一款比较流行的驱动级保护程序. 负责保护腾讯每款游戏不被修改破坏, 也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会 例如OD与CE无法进行如以下操 ...
- 过TP保护与解除游戏驱动保护(可以借鉴)
TP 是国内腾讯游戏一款比较流行的驱动级保护程序. 负责保护腾讯每款游戏不被修改破坏, 也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会 例如OD与CE无法进行如以下操作: ...
- 过游戏驱动保护_我今年玩过的最好的故事驱动游戏
过游戏驱动保护 2020 has been the year of video games for me. Even leaving aside the global pandemic that's ...
- qq游戏和微信游戏是一个服务器吗,Dnf手游qq区微信区能一起玩吗
Dnf手游qq区微信区能一起玩吗,作为一款四人刷图游戏,dnf手游怎么能够没有朋友的相伴呢,一起来看看本期攻略,分享一下这个游戏一些设置的问题,比如我们说的这个两个大区的玩家能不能一起玩的问题,想要知 ...
- 日服巫术online过驱动保护分析(纯工具)(工具+自写驱动)
前言: 最近在学外挂编程,基本都是利用CE,OD调试分析游戏数据,但现在游戏公司用各种保护手段防止我们调试游戏,虽然我们有CE,OD这样的利器但是仍然被游戏驱动保护挡在门外i,真可谓巧妇也难为无米之炊 ...
最新文章
- Facebook面经全披露,我是怎么拿到机器学习工程师offer的?
- windows-服务端口
- Openresty使用
- TensorFlow2简单入门-三维张量
- Cento7 PHP5.6 升级 PHP7.0.0
- VTK:导出PolyData场景用法实战
- Makefile赋值符号的使用——= := ?= +=
- bat函数调用 带返回值
- Ftrace Kernel Hooks: More than just tracing
- iOS开发学习记录【整理】
- Veritas Backup Exec 21.3 Multilingual (Windows)
- Git客户端精简版Git-2.10.0-32-bit.exe
- Go的全新漏洞检测工具govulncheck来了
- 桌面计算机图标无法显示属性,Win7系统桌面图标显示异常的解决方法大全
- Easy Less生成.ttss后缀文件的配置
- How to learn Japanese ?
- 正则限定开头和取反 (否)
- 自己做的js甘特图插件
- Flutter Dio Post请求
- 《赋予角色移动时的动画》part02——动画蓝图