易语言教程_易语言源码_易语言写挂_易语言论坛_看流星社区

 找回密码
 注册
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
赞助广告位 请点击这里联系站长 QQ20209081
赞助广告位 请点击这里联系站长 QQ20209081
赞助广告位 请点击这里联系站长 QQ20209081
查看: 9387|回复: 113

过TP保护的DebugPort清零,分享方法放出驱动!

[复制链接]
发表于 2011-11-11 10:09:23 | 显示全部楼层 |阅读模式
我们知道,DebugPort位于EPROCESS这个结构体中  
不知道啊?去幼儿园向小朋友问  
我这里的偏移是0x0bc,系统不一样,这个偏移值也不一样  
可以用WinDbg查看,开启本地内核调试,输入命令:dt _EPROCESS  
这个不多介绍,详情去网上搜  
另外,DNF.exe会调用NtOpenProcess进行反调试检测  
那么我们不浪费,就地取材,从这里开始入手  
在NtOpenProcess处设置一个钩子,SSDT HOOK相信大多数同学都会  
这里不需要做任何特殊过滤,只打印一些DNF的相关信息  

游客,如果您要查看本帖隐藏内容请回复

评分

参与人数 1流星币 +10 收起 理由
看流星 + 10 我很赞同

查看全部评分

发表于 2012-2-24 16:58:52 | 显示全部楼层
我也来看看
回复 1# wangyt312
发表于 2012-2-25 12:09:28 | 显示全部楼层
看看!!! 学习
发表于 2012-2-27 02:19:31 | 显示全部楼层
新手路过 支持楼主
发表于 2012-2-27 02:52:58 | 显示全部楼层
看忒,会忒啊。。。。。。。。。
发表于 2012-3-3 18:48:16 | 显示全部楼层
看看傲视啊啊
发表于 2012-4-3 11:45:40 | 显示全部楼层
顶一个好东西啊
发表于 2012-4-3 16:42:09 | 显示全部楼层
谢谢分享啊
发表于 2012-4-5 19:10:58 | 显示全部楼层
就差清0怎么定位特征码没有学会啦
发表于 2012-4-5 20:15:34 | 显示全部楼层
回复 1# wangyt312


    ddddddddddd
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
*滑动验证:
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|看流星社区  |网站地图

GMT+8, 2018-11-19 09:57 易语言论坛 易语言导航

Powered by 看流星社区 X3.2

©2011-2016 最好的辅助编程技术论坛

快速回复 返回顶部 返回列表