过TP保护的DebugPort清零，分享方法放出驱动！

wangyt312 · 发表于 2011-11-11 10:09:23

我们知道，DebugPort位于EPROCESS这个结构体中
不知道啊？去幼儿园向小朋友问
我这里的偏移是0x0bc，系统不一样，这个偏移值也不一样
可以用WinDbg查看，开启本地内核调试，输入命令：dt _EPROCESS
这个不多介绍，详情去网上搜
另外，DNF.exe会调用NtOpenProcess进行反调试检测
那么我们不浪费，就地取材，从这里开始入手
在NtOpenProcess处设置一个钩子，SSDT HOOK相信大多数同学都会
这里不需要做任何特殊过滤，只打印一些DNF的相关信息

游客，如果您要查看本帖隐藏内容请回复

parthur · 发表于 2014-3-15 13:26:38

我来学习学习

1980312010 · 发表于 2014-3-19 09:33:43

................................

ugdutjf009 · 发表于 2014-3-24 12:38:48

看看学习技术

lyl610abc · 发表于 2014-3-29 18:29:17

能直接给驱动

a15945736538@16 · 发表于 2014-4-2 22:26:52

呜呜呜呜呜。。。。

1171320344 · 发表于 2014-6-4 14:17:44

这里不需要做任何特殊过滤，只打印一些DNF的相关信息

1687110982 · 发表于 2014-6-7 15:02:55

sadsadsadsadsa

宸风 · 发表于 2014-6-7 22:27:42

支持lz

晓豪 · 发表于 2014-6-12 10:32:48

我来学习学习

		自动登录	找回密码
密码			注册账号

过TP保护的DebugPort清零，分享方法放出驱动！

评分