过TP保护的DebugPort清零,分享方法放出驱动!
我们知道,DebugPort位于EPROCESS这个结构体中不知道啊?去幼儿园向小朋友问
我这里的偏移是0x0bc,系统不一样,这个偏移值也不一样
可以用WinDbg查看,开启本地内核调试,输入命令:dt _EPROCESS
这个不多介绍,详情去网上搜
另外,DNF.exe会调用NtOpenProcess进行反调试检测
那么我们不浪费,就地取材,从这里开始入手
在NtOpenProcess处设置一个钩子,SSDT HOOK相信大多数同学都会
这里不需要做任何特殊过滤,只打印一些DNF的相关信息
**** Hidden Message ***** 我来学习学习 ................................ 看看学习技术 能直接给驱动 呜呜呜呜呜。。。。 这里不需要做任何特殊过滤,只打印一些DNF的相关信息 :L sadsadsadsadsa :curse:支持lz 我来学习学习