[求助]发两个过TerSafe反调的驱动 kingsdows进来一下求教？-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
kingsdows 雪币： 135 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 2 楼他r3还有个LdrInitializeThunk的钩子呢，sod有个anti anti-debug可以过这个，你处理了没最新的tp钩了DbgkQueueMessage，假如不钩idt的话，调试消息就发不到debugport上了比如PspCreateThread里使用了PspUserThreadStartup这个函数，直接用的函数地址，因为新内核模块里全部的重定位都指向了旧的内核模块，所以PspCreateThread里也是用了旧内核模块的PspUserThreadStartup，所以要手动改到新内核模块里。 2012-4-7 03:30 0
kingsdows 雪币： 135 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 3 楼特征和偏移我是照某为大牛的25C，其他偏移可能会被TP清了 2012-4-7 03:32 0
chilun 雪币： 39 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 60 回帖 203 粉丝 2 关注私信	chilun 4 楼谢了哥哥刚看了一下 PspCreateThread中PspUserThreadStartup这个函数确实要改到新内核中，，Y的是个push。。要是call就没事了，，以前没发现，，呵呵 2012-4-7 09:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
kingsdows 雪币： 135 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 2 楼他r3还有个LdrInitializeThunk的钩子呢，sod有个anti anti-debug可以过这个，你处理了没最新的tp钩了DbgkQueueMessage，假如不钩idt的话，调试消息就发不到debugport上了比如PspCreateThread里使用了PspUserThreadStartup这个函数，直接用的函数地址，因为新内核模块里全部的重定位都指向了旧的内核模块，所以PspCreateThread里也是用了旧内核模块的PspUserThreadStartup，所以要手动改到新内核模块里。 2012-4-7 03:30 0
kingsdows 雪币： 135 活跃值： (106) 能力值： ( LV2，RANK：140 ) 在线值：发帖 12 回帖 110 粉丝 1 关注私信	kingsdows 3 3 楼特征和偏移我是照某为大牛的25C，其他偏移可能会被TP清了 2012-4-7 03:32 0
chilun 雪币： 39 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 60 回帖 203 粉丝 2 关注私信	chilun 4 楼谢了哥哥刚看了一下 PspCreateThread中PspUserThreadStartup这个函数确实要改到新内核中，，Y的是个push。。要是call就没事了，，以前没发现，，呵呵 2012-4-7 09:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复