能力值:
( LV2,RANK:10 )
|
-
-
2 楼
应该是debug清零没有过, 处理下清零即可。
在我的调试和处理下,发现最新DNF的TP保护有:
1、NtOpenProcess 的Inline Hook
2、NtOpenThread 的Inline Hook
3、KeAttchProcess和KeStackAttachProcess的Inline Hook (这个不确定,但还是处理了)
DebugPort清零有:
1、TesSafe+0x9138;
2、TesSafe+0x26AC;
3、TesSafe+0x12E166;
DebugPort清零检测: TesSafe+0x1790;//清零检测首地址
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
附加 其他 进程都没有数据
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
因为TP黑了 OD的API函数(貌似是内核层次的函数)
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
恢复了 还是没有数据
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
我把1、NtOpenProcess 的Inline Hook
2、NtOpenThread 的Inline Hook
3、KeAttchProcess和KeStackAttachProcess的Inline Hook都过了,OD还是附回不了。也没发现其它地方有inline。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
请问如何过NtOpenProcess的Inline hook啊?
|
|
|