-
-
[旧帖] [求助]恢复游戏驱动还是不能加载但用Kernel Detective恢复就能够加载 0.00雪花
-
发表于: 2010-12-30 18:53
-
用Kernel Detective恢复能够用OD加载游戏
如图[ ATTACH ] 1.jpg[ /ATTACH ][ ATTACH ] 2.jpg[ /ATTACH ]
就用图上所示的方法在恢复掉R3层被HOOK了的检测函数后
用这个转入填进去,就没可以用OD附加了的~
但是为啥我自己写的代码恢复的话就不能够附加呢?
难道是真的得按那些个文章里说的+10屏蔽掉这个函数前面的一些个JMP?
这个游戏他用的是SSDTHOOK了NtOpenProcess、NtReadVirtualMenory、NtWriteVirtualMemory这三个函数的
为啥 我也用SSDT HOOK恢复他就没有用呢?郁闷...
具体该如何做呢~
各位大侠说说哦、、、
如图[ ATTACH ] 1.jpg[ /ATTACH ][ ATTACH ] 2.jpg[ /ATTACH ]
就用图上所示的方法在恢复掉R3层被HOOK了的检测函数后
用这个转入填进去,就没可以用OD附加了的~
但是为啥我自己写的代码恢复的话就不能够附加呢?
难道是真的得按那些个文章里说的+10屏蔽掉这个函数前面的一些个JMP?
这个游戏他用的是SSDTHOOK了NtOpenProcess、NtReadVirtualMenory、NtWriteVirtualMemory这三个函数的
为啥 我也用SSDT HOOK恢复他就没有用呢?郁闷...
具体该如何做呢~
各位大侠说说哦、、、
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
那么做了检测的话,用inline 跳转就能够过去了的??
我去试一下看看/... 
|
|
|
我恢复那个HOOK还是没有用
那么像他这种不断检测HOOK了的函数地址的保护,是不是 只有使用inline HOOK才能够让他这个恢复报废?
|
