众所周知

TP 系统全称 TenProtect，是由腾讯自主研发推出的安全系统，可以有效保护游戏不受外挂侵犯，同时具备反木马盗号功能，

能有效的防止用户游戏帐号和虚拟财产被窃取。腾讯 TP 系统主要作用为外挂检测、反盗号、反非法工作室、防非法消息。

文章写的有点赶，没有带图，代码可能也有点乱，各位将就看看吧！

首先要提出的是，我现在所做的过 TP 驱动保护只支持 32 位 XP，在所有的 32 位 XP 上都可以正常运行，

不过 Win7 的话还不行，因为里面用到了搜索特征码来定位未导出 API，而我只针对 XP 做了处理。

首先我们先分析一下TP所做的保护：

1、 NtOpenProcess 中的 Deep InLine Hook：

2、 NtOpenThread 中的 Deep InLine Hook：

3、 NtReadVirtualMemory 中的 InLine Hook：

4、 NtWriteVirtualMemory 中的 InLine Hook：

5、 KiAttachProcess和KeStackAttachProcess的 InLine Hook：

6、 NtGetContextThread 中的 InLine Hook：

7、 NtSetContextThread 中的 InLine Hook：

8 、DebugPort清零：

大概主要的函数就是以上这些了，一些小HOOK就不写了。

我相信前7个函数的处理方法在网上应该已经被人讲过一遍又一遍了，所以我直接从DebugPort清零说起。

首先我们又虚拟机进行双机调试 下游戏基址+0xbc 的访问断点

可以发现现在最新的TP 有

四处清零和一处检测

他们分别是

TesSafe基址:   B13AF000

进程基址:        829FFDA0

Breakpoint 0 hit

+0x6ef1:

b1117ef1 8b4624          mov     eax,dword ptr [esi+24h]

Breakpoint 0 hit

+0x22a2:

b11132a2 8b09            mov     ecx,dword ptr [ecx]

Breakpoint 0 hit

+0xba4cc:

b11cb4cc e9a8350000      jmp     +0xbda79 (b11cea79)

Breakpoint 0 hit

+0xbb0f2:

b11cc0f2 e9c5f1ffff      jmp     +0xba2bc (b11cb2bc

一处检测： TesSafe.sys +0x4082

在处理清零之前我们要先处理掉检测，不然要是直接把清零函数ret掉了，检测函数发现后就会重启我们的电脑。

我们要先通过IDA的逆向找出清零函数和检测函数的首地址

第一处清零首地址：TesSafe+0x6ea8;

第二处清零首地址：TesSafe+0x222e;

以下是两处VM的清零代码的地址:

第三处清零：TesSafe+0xbb0f0;

第四处清零：TesSafe+0xba4ca;

CRC检测首地址：TesSafe+0x4082;

知道这些信息后我们就开始写代码过了他吧！

void HandleDebugZero(ULONG uImageBase) //主要清零处理函数
{
                ULONG uAddr_1=uImageBase + 0x4082;//清零CRC检测首地址

	ULONG uAddr_2=uImageBase + 0x6ea8;//清零处1首地址
	ULONG uAddr_3=uImageBase + 0x2228;//清零处2首地址

	GetDnfEprocessAddr(uImageBase);   //取得DNF 进程基址
           //这个进程基址在处理第三和第四处清零的时候用到

           if(uImageBase==0)
	{
		return;
	}

	DisableWP();   //清除CR0

	*(PUSHORT)uAddr_1=0xc3;
                 //由于这个检测函数没压入参数，所以直接ret
         	
    
	//0x6ea8 //第一处清零首地址,也是直接ret
           *(PUCHAR)(uAddr_2)=0xc3;

	//0x2228 //第二处清零首地址,还是直接ret
	*(PUCHAR)(uAddr_3)=0xc3;


	EnableWP();//恢复CR0
	

                g_uDebugPortOffset=g_uDebugPortOffset+0xbc;
                //取到清零位置的地址

	HandleDebugPortPop(true,uImageBase);//处理第三处清零
	HandleDebugPortPush(true,uImageBase);//处理第四处清零
}

打字打到手都累了，下面就不加那么清楚的注释了，各位自己看下吧

void HandleDebugPortPop(BOOLEAN bHook,ULONG uImageBase)

{

        if(bHook)

        {

                //hook pop

                if(uImageBase==0)

                {

                        return ;

                }

                g_uDebugPortPopHookAddr=uImageBase+0xbb0f0;//pop hook地址

                g_uDebugPortPopRetAddr=uImageBase+0xba2bc;//pop retn 地址

                if(g_uDebugPortPopHookAddr==0)

                {

                        return;

                }

                RtlCopyMemory((PVOID)g_szBackupDebugPortPop,

                                  (PVOID)g_uDebugPortPopHookAddr,

                                         5);//保存hook地址，用于恢复

                InLineHookEngine(g_uDebugPortPopHookAddr,(int)FuckDebugPortPop);

                //__asm int 3

        }

        else

        {

                if(g_uDebugPortPopHookAddr==0)

                {

                        return;

                }

                // 最好判断下 TP是否 已经卸载

                int TesSafe=GetTesSafeBassAddr();

                if(TesSafe!=0)

                {

                //KIRQL Irql=KeRaiseIrqlToDpcLevel();

                DisableWP();

        RtlCopyMemory((PVOID)g_uDebugPortPopHookAddr,

[注意]看雪招聘，专注安全领域的专业人才平台！