能力值:
( LV2,RANK:10 )
|
-
-
26 楼
.text:01001EBD call ds:IoGetCurrentProcess ;得到调用者的eprocess
.text:01001EC3 mov [ebp+pEpro], eax
.text:01001EC6 push [ebp+pEpro] ; pEpro
.text:01001EC9 call EprocessChk ;非常关键的比对函数
.text:01001ECE movzx eax, al
.text:01001ED1 test eax, eax
.text:01001ED3 jz short loc_1001EDA
.text:01001ED5 jmp loc_1001FC7 ;返回1的话 直接放行
请问楼主这是用IDA分析得嘛,tessafe.dll加了VMP,我用IDA分析就是一大堆一大堆的数据啊
|
能力值:
( LV9,RANK:610 )
|
-
-
27 楼
[QUOTE=SSuNN;811373].text:01001EBD call ds:IoGetCurrentProcess ;得到调用者的eprocess
.text:01001EC3 mov [ebp+pEpro], eax
.text:01001EC6...[/QUOTE]
只是关键的几个过程(比如TesSafeDispatchDeviceControl)加了VMP,大部分功能部分还是看得清清楚楚~
|
能力值:
( LV2,RANK:10 )
|
-
-
28 楼
在ce代码中修改两行就能过检测。
vmware+windbg 再写一个驱动恢复iat hook,就可以调试了。
|
能力值:
( LV12,RANK:760 )
|
-
-
29 楼
自建内核的强势路过~
|
能力值:
( LV2,RANK:10 )
|
-
-
30 楼
刚跟TX联络过了 说要把LS几位都和谐掉
|
能力值:
( LV2,RANK:10 )
|
-
-
31 楼
这不知是多久前的东西了...现在我OD下断会被检测到..断点会被清除.然后游戏退出.
|
能力值:
( LV7,RANK:100 )
|
-
-
32 楼
都说了 game ver:0.5.7 了嘛。。看看就得了,想实践的话自己重写呗
|
能力值:
( LV2,RANK:10 )
|
-
-
33 楼
好贴标记下,发帖辛苦。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
34 楼
这个大大的图里面有一个【勾魂催眠.pdf】。。真是佩服。。五体投地。。
大家一起来找碴。。
|
能力值:
( LV2,RANK:10 )
|
-
-
35 楼
[QUOTE=cvcvxk;793595]3字节没那么不和谐,另外TP的DeviceIoControl好像没啥用吧,话说不是用int XX通信么~
有图~
[/QUOTE]
------------------------------
这个大大的图里面有一个【勾魂催眠.pdf】。。真是佩服。。五体投地。。
大家一起来找碴。。
|
能力值:
( LV2,RANK:10 )
|
-
-
36 楼
拜啊,使劲的膜拜
|
能力值:
(RANK:210 )
|
-
-
37 楼
玩驱动不够nb,要玩就玩ring3.
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
不错 顶了~
|
能力值:
( LV2,RANK:10 )
|
-
-
39 楼
这个好的的文章,怎么没人来看呢?
|
能力值:
( LV2,RANK:10 )
|
-
-
40 楼
都是牛人.只有膜拜
|
能力值:
( LV4,RANK:50 )
|
-
-
41 楼
收益非浅啊。。呵呵
|
能力值:
( LV9,RANK:490 )
|
-
-
42 楼
曾经改过一个wrk,发现过一段时间之后会报非法模块,似乎做了特征扫描的。无利益,未深究
空了XX一下KdSendPacket KdRecivePacket
|
能力值:
( LV3,RANK:20 )
|
-
-
43 楼
强贴!收藏!感谢!
|
|
|