看流星社区 › 辅助制作技术 › TenProtect(TP) 驱动保护原理

夜影小子 发表于 2013-4-8 09:05:28

TenProtect(TP) 驱动保护原理

01. 博文简介：
02. 环境及工具准备：
03. 分析 TP 所做的保护：
04. 干掉 NtOpenProcess 中的 Deep InLine Hook：
05. 干掉 NtOpenThread 中的 Deep InLine Hook：
06. 干掉 NtReadVirtualMemory 中的 InLine Hook：
07. 干掉 NtWriteVirtualMemory 中的 InLine Hook：
08. 干掉 KiAttachProcess 的 InLine Hook：
09. 干掉 NtGetContextThread 中的 InLine Hook：
10. 干掉 NtSetContextThread 中的 InLine Hook：
11. 干掉 DbgkpQueueMessage 中的 InLine Hook：
12. 干掉 DbgkpSetProcessDebugObject 中的 InLine Hook：
13. 干掉 Debug 清零

八月的樱花 发表于 2013-4-8 09:05:38

tp就dbgport清零，内核重载，差不多就过了。

xl6792 发表于 2014-6-22 07:46:08

=
=是答案打算

gg55222 发表于 2020-3-17 10:16:47

https://www.yxkfw.com/data/attachment/forum/202003/17/091725ah1eo9x8iis48kih.png

https://www.yxkfw.com/data/attachment/forum/202003/17/091730sxrse8awt9txfs1a.png

https://www.yxkfw.com/data/attachment/forum/202003/17/091732lqww37er5iqiiiul.png


https://www.yxkfw.com/data/attachment/forum/202003/17/091735mlnltk9lrzvwer7v.png


https://www.yxkfw.com/data/attachment/forum/202003/17/091740y7ci0ucfx0n02ht0.png

查看完整版本: TenProtect(TP) 驱动保护原理