过64位下TP保护DebugPort清零源码(不用过PG)
前不久研究了一些32位下各种保护,收获颇多,但是在32位下由于内存限制所以,卡卡的感觉让人很不爽,于是研究了一下64为下的保护。
测试游戏:JFZR环境:win7 x64
一:首先是双击调试,我之前发过一篇帖子,总结过双击调试的一些关键变量之类的东西,64位和32位基本想通。
PS:过双击调试的时候要打一下PG的补丁,以为要替换那几个全局变量,还有就是Inline Hook IoAllocateMdl这个函数。这里再贴一下代理函数:
PMDL newIoAllocateMdl(
__in_opt PVOIDVirtualAddress,
__in ULONGLength,
__in BOOLEANSecondaryBuffer,
__in BOOLEANChargeQuota,
__inout_opt PIRPIrpOPTIONAL)
{
if (VirtualAddress == KdEnteredDebugger)
{
//DbgPrint(" address: %p\n", KdEnteredDebugger);
VirtualAddress = (PUCHAR)KdEnteredDebugger + 0x30;
}
return oldIoAllocateMdl(VirtualAddress, Length, SecondaryBuffer, ChargeQuota, Irp);
}
二:双击调试过了之后,开始对关键点下访问断点(全局调试对象权限,DebugPort),发现*P并没有对DebugPort做清零,而是只对全局调试对象权限做了清零处理,难道没有了DebugPort清零?于是自己写了个程序对程序模拟的试了一下DebugPort清零(在未打PG补丁的情况下),结果就是触发PG蓝屏。也就是说64位下如果对DebugPort清零就会触发PG。
但是对全局对象权限的清零并不会触发PG。处理方法就是简单粗暴地用DPC定时器把权限给写回去:
源码:
**** Hidden Message ***** 过64位下TP保护DebugPort清零源码
这个学习了谢谢 111下载过来看看
学习一下,感谢楼主分享 这个很强大学习了 非常感谢,学习学习 这个必须要学习一下。谢谢 :L 回个看看哦 {:2_26:} {:2_26:} {:2_26:} {:2_26:} {:2_26:}