-
-
[旧帖]
[求助]tp是否还有其他隐藏线程?
0.00雪花
-
发表于:
2012-10-17 20:24
1706
-
[旧帖] [求助]tp是否还有其他隐藏线程?
0.00雪花
最近一直在弄双机调试,自己inline hook KdDisableDebugger还是停不下来,使用hidekd在tp第一次加载后就停在那了,!process 0 0这个命令也无法得到结果
又想了另外的办法,用powertool 把DPC定时器、IO定时器、CreateProcess回调函数(安装了qq2012会有PsSetLoadImageNotifyRoutine、PspCreateThreadNotifyRoutine,卸载后就没了)摘掉,结束了两条内核线程,最后在驱动中调用KdEnableDebugger开启调试
都完成后windbg还是断不下来,并且过了大概30分钟后弹出了tp的155第三方工具警告码,这期间我做别的事去了,只开了powertool
我用工具把tp的几个能用工具查找到的检测点都恢复了,可还是被检测了,我就猜测是否还存在隐藏的线程在检测
想请教各位完全pass tp 的前辈,我的猜测是否是对的? 或者能否给我点指导,到底要怎么才能过tp的双机调试.
在此谢谢各位了!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
