-
-
[原创]如何摘除某F的注册回调,实现读写
-
发表于: 2021-11-20 20:52
-
运行游戏,然后查看所有的回调,这里ACE_BASE就是游戏注册的一个Process类型的回调。
实验1:
直接摘除回调,游戏蓝屏。
既然摘除该回调蓝屏,那肯定是有别的线程在检测此回调。
实验2:
找到所有的属于TP驱动的线程,全部给"暂停"掉.然后一个一个的给恢复运行,恢复到某个线程发生蓝屏,那么这个线程就是检测线程。
经过测试,起始地址E2C0属于ACE_BASE模块的线程就是检测线程。停掉它,然后摘除回调,即可实现3环读写。
读取的测试:
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
何止黔驴技穷,vt上全是tp的驱动,太惨了 |
|
|
|
|
|
|
