wangyt312 发表于 2011-11-11 10:09:23

过TP保护的DebugPort清零,分享方法放出驱动!

我们知道,DebugPort位于EPROCESS这个结构体中
不知道啊?去幼儿园向小朋友问
我这里的偏移是0x0bc,系统不一样,这个偏移值也不一样
可以用WinDbg查看,开启本地内核调试,输入命令:dt _EPROCESS
这个不多介绍,详情去网上搜
另外,DNF.exe会调用NtOpenProcess进行反调试检测
那么我们不浪费,就地取材,从这里开始入手
在NtOpenProcess处设置一个钩子,SSDT HOOK相信大多数同学都会
这里不需要做任何特殊过滤,只打印一些DNF的相关信息

**** Hidden Message *****

parthur 发表于 2014-3-15 13:26:38

我来学习学习

1980312010 发表于 2014-3-19 09:33:43

................................

ugdutjf009 发表于 2014-3-24 12:38:48

看看学习技术

lyl610abc 发表于 2014-3-29 18:29:17

能直接给驱动

a15945736538@16 发表于 2014-4-2 22:26:52

呜呜呜呜呜。。。。

1171320344 发表于 2014-6-4 14:17:44

这里不需要做任何特殊过滤,只打印一些DNF的相关信息

1687110982 发表于 2014-6-7 15:02:55

:L sadsadsadsadsa

宸风 发表于 2014-6-7 22:27:42

:curse:支持lz

晓豪 发表于 2014-6-12 10:32:48

我来学习学习
页: [1] 2 3 4 5 6
查看完整版本: 过TP保护的DebugPort清零,分享方法放出驱动!