易语言教程_易语言源码_易语言写挂_易语言论坛_看流星社区

 找回密码
 注册
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
赞助广告位 请点击这里联系站长 QQ20209081
赞助广告位 请点击这里联系站长 QQ20209081
赞助广告位 请点击这里联系站长 QQ20209081
查看: 3227|回复: 56

[源码] 过TP之创建CreateMyDbgkDebugObjectType

[复制链接]
发表于 2014-2-28 09:27:22 | 显示全部楼层 |阅读模式
游客,如果您要查看本帖隐藏内容请回复
 楼主| 发表于 2014-2-28 09:28:16 | 显示全部楼层
因为TP有个线程不断的对这个清零,测试过以下方案:
1.直接恢复结构,马上会被清零,od提示无法附加进程,放弃
2.inlinehook,调用ob***之前恢复结构,因为tp清零太快,od提示无法附加进程,放弃

还有个难点就是debugport清零了,我已经解决了,至于方法就不直接说了,提示一下:
修改31处系统函数的debugport偏移,但是有一处tp有检测,我是用Inlinehook绕过的,不修改这一处偏移,在自己的代码里写上新偏移.
至于是检测了哪一处,你们自己测试,我曾经inlinehook了31处才确定的.汗啊!
等哪天tp增加检测的位置,我那31个inlinehook代码又要用上了.

总结:
1.不能修改TesSafe.sys代码,有校验,修改任何一个字节会重启,如果有能力过掉校验就没问题,好像很麻烦,我就不走这条路了.
2.修改系统函数代码,如果有检测,会弹出警告,此时就要改变修改位置,比如双机调试的inlinehook.
发表于 2014-2-28 12:11:35 | 显示全部楼层
gdfgfdgfdgd
发表于 2014-2-28 12:27:36 | 显示全部楼层
支持看流星社区
发表于 2014-3-1 17:19:59 | 显示全部楼层
学习了  支持下啊
发表于 2014-3-1 20:27:18 | 显示全部楼层
好东西,一定要看看
发表于 2014-3-2 18:24:57 | 显示全部楼层
好东西,一定要看看
发表于 2014-3-16 10:05:52 | 显示全部楼层
好东西,先谢了!!!!!!!!!!!!!!!!
发表于 2014-3-24 14:18:08 | 显示全部楼层
回复 1# 多维时空


    sfdfdfdffsd
发表于 2014-3-24 14:58:45 | 显示全部楼层
6y4tyryryr
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|看流星社区 |网站地图

GMT+8, 2019-3-24 11:35

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表