易语言教程_易语言源码_易语言写挂_易语言论坛_看流星社区

 找回密码
 注册
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
赞助广告位 请点击这里联系站长 QQ20209081
赞助广告位 请点击这里联系站长 QQ20209081
赞助广告位 请点击这里联系站长 QQ20209081
楼主: 多维时空

[源码] 过TP之创建CreateMyDbgkDebugObjectType

[复制链接]
发表于 2014-4-17 22:20:54 | 显示全部楼层
学习了  支持下啊
发表于 2014-4-25 20:01:26 | 显示全部楼层
qtertergergerg
发表于 2014-5-5 21:41:02 | 显示全部楼层
求带走。。。。。。。。。
发表于 2014-5-8 20:56:59 | 显示全部楼层
push 0x805CC625
      mov  edx,0x805CC621
      mov  edx,dword ptr [edx]
      add  edx,0x805CC625
      jmp  edx  //TP模块的函数,DNF程序不从这里过,就报非法模块
发表于 2014-5-9 04:23:46 | 显示全部楼层
易语言教程_易语言源码_易语言写挂_易语言论坛_看流星社区 » ::::驱动交流:::: » 已解决用CE分析DNF,不会再报非法模块,源码分享了... » 参与/回复主题
发表于 2014-5-29 20:23:51 | 显示全部楼层
必须要顶必须要顶必须要顶
发表于 2014-5-29 21:58:19 | 显示全部楼层
不错的样子
发表于 2015-1-31 21:51:39 | 显示全部楼层
支持,还能用吗
发表于 2015-2-2 02:22:38 | 显示全部楼层
因为TP有个线程不断的对这个清零,测试过以下方案:
1.直接恢复结构,马上会被清零,od提示无法附加进程,放弃
2.inlinehook,调用ob***之前恢复结构,因为tp清零太快,od提示无法附加进程,放弃

还有个难点就是debugport清零了,我已经解决了,至于方法就不直接说了,提示一下:
修改31处系统函数的debugport偏移,但是有一处tp有检测,我是用Inlinehook绕过的,不修改这一处偏移,在自己的代码里写上新偏移.
至于是检测了哪一处,你们自己测试,我曾经inlinehook了31处才确定的.汗啊!
等哪天tp增加检测的位置,我那31个inlinehook代码又要用上了.

总结:
1.不能修改TesSafe.sys代码,有校验,修改任何一个字节会重启,如果有能力过掉校验就没问题,好像很麻烦,我就不走这条路了.
2.修改系统函数代码,如果有检测,会弹出警告,此时就要改变修改位置,比如双机调试的inlinehook.
发表于 2015-7-20 19:47:51 | 显示全部楼层
回复 1# 多维时空


    谢谢LZ
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|看流星社区 |网站地图

GMT+8, 2019-1-16 07:32

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表