-
-
[求助]Hackshield保护下的EHSvc.dll一些问题.
-
发表于: 2010-8-26 00:09
-
进入游戏后被HOOK了以下三个函数:
1-NtOpenProcess
2-NtWriteVirtualMemory
3-NtReadVirtualMemory
恢复这三个钩子后,OD和CE能正常的打开进程.
但这三个钩子在EHSvc.dll某的线程的作用下,每隔15S重新安装一次.
一旦安装,OD里代码就没了,CE也无效了。
我现在是苦力方法.每15S手动恢复一次。
后来想通过暂停EHSvc.dll的某个线程来阻止安装HOOK。
于是我对EHSvc.dll的线程进行一个个暂停来测试。发现暂停掉其中一个线程后。
机器一会就蓝屏了。
在网上找了EHSvc.dll的导出表相关资料。发现对其中的某个函数返回值进行修改可以达到不加载驱动,不进行效验等效果。
不过这个dll加了Themida壳,对于themida壳的exe文件,Nooby牛的tmd_iat.osc效果特好。但这个DLL似呼不太给面子。实在没法整了.
不知道论坛里有没有高人研究过这些东西。
问题一:可不可以不用修改EHSvc.dll就可以达到打开游戏进程的方法?(现在主要是15S恢复一次麻烦)
问题二:如果要修改EHSvc.dll的话,嘿嘿。咋修改呀??对于我这类小菜来说.themida壳如钢甲一般坚硬。何况现在是套在dll外面了.
1-NtOpenProcess
2-NtWriteVirtualMemory
3-NtReadVirtualMemory
恢复这三个钩子后,OD和CE能正常的打开进程.
但这三个钩子在EHSvc.dll某的线程的作用下,每隔15S重新安装一次.
一旦安装,OD里代码就没了,CE也无效了。
我现在是苦力方法.每15S手动恢复一次。
后来想通过暂停EHSvc.dll的某个线程来阻止安装HOOK。
于是我对EHSvc.dll的线程进行一个个暂停来测试。发现暂停掉其中一个线程后。
机器一会就蓝屏了。
在网上找了EHSvc.dll的导出表相关资料。发现对其中的某个函数返回值进行修改可以达到不加载驱动,不进行效验等效果。
不过这个dll加了Themida壳,对于themida壳的exe文件,Nooby牛的tmd_iat.osc效果特好。但这个DLL似呼不太给面子。实在没法整了.
不知道论坛里有没有高人研究过这些东西。
问题一:可不可以不用修改EHSvc.dll就可以达到打开游戏进程的方法?(现在主要是15S恢复一次麻烦)
问题二:如果要修改EHSvc.dll的话,嘿嘿。咋修改呀??对于我这类小菜来说.themida壳如钢甲一般坚硬。何况现在是套在dll外面了.
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
