2,643
社区成员
发帖
与我相关
我的任务
分享过驱动保护之 最新绕过TX驱动保护TesSafe.sys方法(现在可以用)3
最新绕过TX驱动保护TesSafe.sys方法(现在可以用)3
过游戏 保护 之TS篇
********************************************************************************************
***************
就这么多了,或许有人说,没必要那么复杂,直接恢复NtOpenProcess不就行了吗?对于象“冰刃”
“Rookit Unhooker”这些“善良”之辈的话是没问题的,但是象NP这些“穷凶极恶”之流的话,它会不
断检测NtOpenProcess是不是已经被写回去,是的话,嘿嘿,机器马上重启。这也是这种方法的一点点妙
用。
现在我们把思路总结一下,首先在游戏启动前先把NtOpenProcess整个函数的代码保存下来,再SSDT
Hook,把地址指向我的函数。但是发现TX的驱动还有个保护机制 ,每隔一段时间检测系统是否有调用
NtOpenProcess函数。
解决方法可以在驱动里面做个函数,函数里面先调用被驱动修改的NtOpenProcess,丢弃返回值后再
调用提前定义的代码,最后返回这次的句柄就可以了。其他函数也类似这种恢复方法,网上好象有类似的
代码,大家可以找一下。
#include<ntddk.h>
typedef struct _SERVICE_DESCRIPTOR_TABLE
{
PVOID ServiceTableBase;
PULONG ServiceCounterTableBase;
ULONG NumberOfService;
ULONG ParamTableBase;
}SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE; //由于KeServiceDescriptorTable只有一项
,这里就简单点了
extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;//KeServiceDescriptorTable为导出函
数
/////////////////////////////////////
VOID Hook();
VOID Unhook();
VOID OnUnload(IN PDRIVER_OBJECT DriverObject);
//////////////////////////////////////
ULONG JmpAddress;//跳转到NtOpenProcess里的地址
ULONG OldServiceAddress;//原来NtOpenProcess的服务地址
................
查看全文请上 郁金香外挂教学网:http://bbs.yjxsoft.net/?u=1039
过游戏 保护 之TS篇
********************************************************************************************
***************
就这么多了,或许有人说,没必要那么复杂,直接恢复NtOpenProcess不就行了吗?对于象“冰刃”
“Rookit Unhooker”这些“善良”之辈的话是没问题的,但是象NP这些“穷凶极恶”之流的话,它会不
断检测NtOpenProcess是不是已经被写回去,是的话,嘿嘿,机器马上重启。这也是这种方法的一点点妙
用。
现在我们把思路总结一下,首先在游戏启动前先把NtOpenProcess整个函数的代码保存下来,再SSDT
Hook,把地址指向我的函数。但是发现TX的驱动还有个保护机制 ,每隔一段时间检测系统是否有调用
NtOpenProcess函数。
解决方法可以在驱动里面做个函数,函数里面先调用被驱动修改的NtOpenProcess,丢弃返回值后再
调用提前定义的代码,最后返回这次的句柄就可以了。其他函数也类似这种恢复方法,网上好象有类似的
代码,大家可以找一下。
#include<ntddk.h>
typedef struct _SERVICE_DESCRIPTOR_TABLE
{
PVOID ServiceTableBase;
PULONG ServiceCounterTableBase;
ULONG NumberOfService;
ULONG ParamTableBase;
}SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE; //由于KeServiceDescriptorTable只有一项
,这里就简单点了
extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;//KeServiceDescriptorTable为导出函
数
/////////////////////////////////////
VOID Hook();
VOID Unhook();
VOID OnUnload(IN PDRIVER_OBJECT DriverObject);
//////////////////////////////////////
ULONG JmpAddress;//跳转到NtOpenProcess里的地址
ULONG OldServiceAddress;//原来NtOpenProcess的服务地址
................
查看全文请上 郁金香外挂教学网:http://bbs.yjxsoft.net/?u=1039
...全文
请发表友善的回复…
发表回复
chju_game 2010-01-21
- 打赏
- 举报
不明白@!
callesp 2009-12-02
- 打赏
- 举报
[Quote=引用 1 楼 rendao0563 的回复:]
驱动保护的是什么. NtOpenProcess的调用? 为什么要调用NtOpenProcess. 直接挂进去不就好了.
[/Quote]
这个怎么说?
驱动保护的是什么. NtOpenProcess的调用? 为什么要调用NtOpenProcess. 直接挂进去不就好了.
[/Quote]
这个怎么说?
myshinji 2009-10-12
- 打赏
- 举报
hehe ,纯做宣传的
MoXiaoRab 2009-10-12
- 打赏
- 举报
SSDT HOOK也好意思发上来丢人.
文章主体就SERVICE_DESCRIPTOR_TABLE的声明,这算什么东西
文章主体就SERVICE_DESCRIPTOR_TABLE的声明,这算什么东西
MoXiaoRab 2009-10-12
- 打赏
- 举报
垃圾文章.
rendao0563 2009-10-12
- 打赏
- 举报
驱动保护的是什么. NtOpenProcess的调用? 为什么要调用NtOpenProcess. 直接挂进去不就好了.
