能力值:
( LV2,RANK:10 )
|
-
-
2 楼
看看openprocess的GetLastError是啥呗
|
能力值:
( LV4,RANK:49 )
|
-
-
3 楼
刚刚试了下,发现返回的错误代码是: ERROR_ACCESS_DENIED 5 (0x5) Access is denied. 好像看不出什么来。。。
|
能力值:
( LV5,RANK:78 )
|
-
-
4 楼
没看obj钩子么.
|
能力值:
( LV4,RANK:49 )
|
-
-
5 楼
bambooqj
没看obj钩子么.
obj钩子就是pchunter里面的内核钩子是吧,我不知道这个怎么叫,应该就是我说的进程和线程回调,他还有创建进程 创建线程 和加载模块的回调,我全都恢复了。。还是不行,,我觉得它一定还有其他地方做了什么。。。我实在不知道是处理了哪里,内核里面也没有扫到inline hook。。
|
能力值:
( LV1,RANK:0 )
|
-
-
6 楼
先进行底层hook,然后再把他释放的tp保护ban了就可以了,没那么复杂,兄弟这游戏的保护我都玩烂了
|
能力值:
( LV4,RANK:49 )
|
-
-
7 楼
mb_kizlxpak
先进行底层hook,然后再把他释放的tp保护ban了就可以了,没那么复杂,兄弟这游戏的保护我都玩烂了
具体怎么弄啊老哥
|
能力值:
( LV1,RANK:0 )
|
-
-
8 楼
QQ三国这个游戏在底层有jmp的,你禁止了他的驱动加载你还是读不了数据的,必须要先禁止再将底层hook了才能读取数据
|
能力值:
( LV4,RANK:49 )
|
-
-
9 楼
mb_kizlxpak
QQ三国这个游戏在底层有jmp的,你禁止了他的驱动加载你还是读不了数据的,必须要先禁止再将底层hook了才能读取数据
啥叫底层有jmp啊
|
能力值:
( LV1,RANK:0 )
|
-
-
10 楼
ntdll.dll那个底层文件有jmp
|
能力值:
( LV8,RANK:130 )
|
-
-
11 楼
句柄保护 无非就是 对象钩子 句柄回调(ObRegisterCallbacks) infiity hook 句柄表篡改 还有系统调用返回r3时候有个钩子会先调用
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
用他个求,自己实现一套来。
|
能力值:
( LV4,RANK:49 )
|
-
-
13 楼
killpy
句柄保护 无非就是 对象钩子 句柄回调(ObRegisterCallbacks) infiity hook 句柄表篡改 还有系统调用返回r3时候有个钩子会先调用
大神,那个对象钩子和句柄回调是一个东西吗?就是pchunter 的“object钩子”选项卡里面的吗?句柄表篡改是指获取到游戏句柄后,游戏不断扫描所有进程的的句柄表,篡改掉和自己有关的句柄吗?但是我的现象是句柄打开的时候直接就失败了,应该不是这种。还有系统调用返回r3时候的钩子是什么呀?
|
能力值:
( LV4,RANK:49 )
|
-
-
14 楼
神雕大侠X
大神,那个对象钩子和句柄回调是一个东西吗?就是pchunter 的“object钩子”选项卡里面的吗?句柄表篡改是指获取到游戏句柄后,游戏不断扫描所有进程的的句柄表,篡改掉和自己有关的句柄吗?但是我的 ...
我刚刚看了一下系统的CkclWmiLoggerContext+0x28处,得到的数值是0,请问是否说明没有进行 infiity hook呢?
|
能力值:
( LV4,RANK:49 )
|
-
-
15 楼
killpy
句柄保护 无非就是 对象钩子 句柄回调(ObRegisterCallbacks) infiity hook 句柄表篡改 还有系统调用返回r3时候有个钩子会先调用
不好意思,刚刚看的那个帖子使用的win10的偏移量,我搞错了,win7上是0x18,这个函数指针确实指向了游戏驱动模块的地址,很有可能就是用了infiity hook了,在infiity hook科普帖子里看到您有问如何禁止ETW,请问您现在找到什么方法处理这个hook了吗?非常感谢
|
能力值:
( LV4,RANK:49 )
|
-
-
16 楼
唐某某
用他个求,自己实现一套来。
|
能力值:
( LV8,RANK:130 )
|
-
-
17 楼
神雕大侠X
我刚刚看了一下系统的CkclWmiLoggerContext+0x28处,得到的数值是0,请问是否说明没有进行 infiity hook呢?
不是一回事 那个钩子是InstrumentationCallback
|
能力值:
( LV8,RANK:130 )
|
-
-
18 楼
神雕大侠X
不好意思,刚刚看的那个帖子使用的win10的偏移量,我搞错了,win7上是0x18,这个函数指针确实指向了游戏驱动模块的地址,很有可能就是用了infiity hook了,在infiity hook科普 ...
那就学习hzqst 冲了它啊 2345驱动占坑第四层 微软第五层 你搞个第六层
|
能力值:
( LV4,RANK:49 )
|
-
-
19 楼
killpy
不是一回事 那个钩子是InstrumentationCallback
谢谢大神解答,我看了InstrumentationCallback,还有一个疑问想请教下,这个hook方式是在一个进程的Kprocess中改写函数指针,那么hook是不是只针对这个被修改的进程呢,还是说是全局的
|
|
|