-
-
[求助]某个游戏的三环反调试,附加检测原理请教
-
发表于:
2019-6-24 17:23
7099
-
某某粉游戏的三环反调试保护,内核层保护已经处理完了。
CE可以读数据
x32dbg附加的时候远程断点创建的线程会抛出一个内核地址的c000005异常,如果忽略则退出游戏。如下图:
DbgUiRemoteBreakin函数的钩子已经恢复。
猜测可能是游戏HOOK了线程在三环的落脚点函数,但是通过栈帧往上找,最多找到这个函数:
用其他进程测试,这个函数无论是被附加或者是脱离都会被调用。
于是在这个函数头写入int3后附加游戏,但是一样断不下来。
猜测这并不是线程的落脚点函数,但是实在不知道怎么找了~
各路大佬走过路过帮忙指点下,感激不尽~
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课