lol加载的保护不让od附加驱动sys
1个回答
展开全部
下面我简单看说下以上关键的几个APIHOOK:
1.KiAttachProcess 函数
2.NtReadVirtualMemory
内存函数
3.NtWriteVirtualMemory 内存函数 7
4.NtOpenThread 线程函数
5.NtOpenProcess 进程函数
那么前3个函数是可以直接SSDT恢复的,第4个函数是有监视,如果直接恢复的话电脑会即刻重启.(TP蛮变态)
,第5个函数和ring3有驱动通信,直接恢复这个函数的话 游戏会在1分钟内弹出SX非法模块提示.
其实以上说的这么多限制
都是因为TP保护造成的.其实这些东西研究了很久后,发现其实就是的PIHOOK这方面
既然我们现在知道了TP保护的保护特点和这几个API分析后的结果.
接下来就是要做出相应的解除TP保护(也就是这些APIHOOK) )
.
下面我在梳理一下头绪给出相应的解决方案
1.首先直接恢复 第1、2、3处的SSDT表中的HOOK
2.绕过4、5处的HOOK 不采用直接恢复
3.将TP保护程序中的debugport清零的内核线程干掉 停止该线程继续运行.
4.恢复硬件断点
但是要有一个先后的逻辑顺序
因为内核有一个线程负责监视几个地方,必须要先干掉它。
但是这个内容我写在了处理debugport清零的一起,也就是第3步。所以大家在照搬源码的时候注意代码执行次序。
先从简单的工作讲起,恢复1、2、3处的HOOK
1.KiAttachProcess 函数
2.NtReadVirtualMemory
内存函数
3.NtWriteVirtualMemory 内存函数 7
4.NtOpenThread 线程函数
5.NtOpenProcess 进程函数
那么前3个函数是可以直接SSDT恢复的,第4个函数是有监视,如果直接恢复的话电脑会即刻重启.(TP蛮变态)
,第5个函数和ring3有驱动通信,直接恢复这个函数的话 游戏会在1分钟内弹出SX非法模块提示.
其实以上说的这么多限制
都是因为TP保护造成的.其实这些东西研究了很久后,发现其实就是的PIHOOK这方面
既然我们现在知道了TP保护的保护特点和这几个API分析后的结果.
接下来就是要做出相应的解除TP保护(也就是这些APIHOOK) )
.
下面我在梳理一下头绪给出相应的解决方案
1.首先直接恢复 第1、2、3处的SSDT表中的HOOK
2.绕过4、5处的HOOK 不采用直接恢复
3.将TP保护程序中的debugport清零的内核线程干掉 停止该线程继续运行.
4.恢复硬件断点
但是要有一个先后的逻辑顺序
因为内核有一个线程负责监视几个地方,必须要先干掉它。
但是这个内容我写在了处理debugport清零的一起,也就是第3步。所以大家在照搬源码的时候注意代码执行次序。
先从简单的工作讲起,恢复1、2、3处的HOOK
本回答由网友推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
