[原创]过掉DNF游戏保护，仅供学习研究。不得用于非法途径。-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]过掉DNF游戏保护，仅供学习研究。不得用于非法途径。

发表于: 2009-9-8 14:05 213833

[原创]过掉DNF游戏保护，仅供学习研究。不得用于非法途径。

tufuzi

2009-9-8 14:05

213833

查看主题内容

收藏・149

免费・7

支持

最新回复 (156) ◀ 1 2 3 4 5 6 7 ▶
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 76 楼 tufuzi老大我今天刚把 SHADOW SSDT 搞定了终于可以恢复它了但是恢复后就蓝了你说他是怎么个原理游戏里有又多了个驱动 Tesdrv.sys 好像叫这个这个函数没有HOOK任何的函数不知道他是干什么的，你说SHADOW SSDT没有效验但是恢复它蓝了，难道跟这个驱动有关？ 2009-9-26 23:53 0
南山小松雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	南山小松 77 楼 [QUOTE=tufuzi;691186]80642d34 39bebc000000 cmp dword ptr [esi+0BCh],edi xxx+0BCh，找这样的，不过并非所有的都要改，你要看看具体他干嘛[/QUOTE] 嗯我解决了,看了WINDOW的内核源码,但是对照着源码,把这几个函数所调用到DEBUGPORT的地方都改成 +078了,但是 OD附加任何程序都变成空白的了,就是载入不了目标程序,没卡住,没有代码,没有模块,OD空空的,应该是附加到某一步又有问题了,难道要把所有用到DEBUGPORT的函数都要改吗,我没有改创建DEBUGPORT结构的函数,会不会是这个问题呢,结构创建了指针还是写到+BC,但是这几个访问的函数都访问+78去了. 2009-10-1 04:25 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 78 楼最近老婆刚生完孩子，没什么时间上。。。呵呵你是怎么恢复的？ 2009-10-8 10:43 0
Music小冷雪币： 376 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	Music小冷 79 楼 Lz对CONTEXT的处理看的不是很明白我发现是DNF进程就把CONTEXT返回全改成0，结果游戏启动的时候直接退出了... 2009-10-8 14:50 0
雪的思念雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 0 关注私信	雪的思念 80 楼很强悍,收藏起来学习了,感谢LZ 2009-10-24 01:49 0
haoshuaioo 雪币： 241 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 92 粉丝 0 关注私信	haoshuaioo 1 81 楼收藏一下！！ 2009-10-24 08:07 0
cyh 雪币： 242 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	cyh 82 楼不错,收藏起来 2009-10-24 11:37 0
西门飞雪雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	西门飞雪 83 楼貌似这个东东非常的强大 2009-10-25 13:29 0
yangjihang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	yangjihang 84 楼太感谢了，下来学习一下，谢谢 2009-10-25 13:30 0
daienming 雪币： 211 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 0 关注私信	daienming 85 楼思路清晰，代码详细 2009-10-31 16:23 0
xixuegui 雪币： 73 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 78 粉丝 0 关注私信	xixuegui 86 楼学习中..看看 2009-10-31 17:23 0
korall 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	korall 87 楼一路看下来，竟没有注意到楼主是用汇编写的代码。。。最近汇编代码看得太多了呵呵楼主的文章不错 2009-10-31 19:38 0
speeches 雪币： 141 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 146 回帖 301 粉丝 2 关注私信	speeches 88 楼不错，很有技术含量含金量：五颗星 2009-11-2 00:52 0
zhangxue 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	zhangxue 89 楼在我的windbg 里怎么看不到 * After setting your symbol path, use .reload to refresh symbol locations. * ************************************************************************** Executable search path is: ******************************************************************* * Symbols can not be loaded because symbol path is not initialized. * * * * The Symbol Path can be set by: * * using the _NT_SYMBOL_PATH environment variable. * * using the -y <symbol_path> argument when starting the debugger. * * using .sympath and .sympath+ * ******************************************************************* * ERROR: Symbol file could not be found. Defaulted to export symbols for ntkrpamp.exe - KdDebuggerDataBlock not available! ***************************************************************************** WARNING: Local kernel debugging requires booting with kernel debugging support (/debug or bcdedit -debug on) to work optimally. ***************************************************************************** Windows XP Kernel Version 2600 MP (2 procs) Free x86 compatible Product: WinNt, suite: TerminalServer SingleUserTS Kernel base = 0x804d8000 PsLoadedModuleList = 0x8055e720 Debug session time: Fri Nov 6 19:21:28.046 2009 (GMT+8) System Uptime: 0 days 1:35:19.814 lkd> g ^ No runnable debuggees error in 'g' lkd> uf DbgkpMarkProcessPeb Couldn't resolve error at 'DbgkpMarkProcessPeb' 2009-11-7 20:14 0
落葉飛雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	落葉飛 90 楼楼主很强大~~学习研究中 2009-11-15 10:19 0
haoshuaioo 雪币： 241 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 92 粉丝 0 关注私信	haoshuaioo 1 91 楼强帖留名，膜拜！！ 2009-11-24 22:00 0
cxjnet 雪币： 235 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	cxjnet 92 楼好贴，留名，收藏 2009-11-24 23:51 0
mimihaha 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mimihaha 93 楼无限拜膜Lz一月成就，收藏细细研究...... 2009-12-2 11:03 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 94 楼可以附加程序了，附加之后暂停下来了，然后F9运行，大概十来秒程序就异常，有知道原因的吗 2010-1-8 03:39 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 95 楼收藏学习，汇编写的比C看着舒服 2010-1-8 12:04 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 96 楼很久没看TP了，记得以前直接修改代码段是要蓝屏的，TP写debugport的一段代码里0xBC这个常量是从data段读的，找到那个地址把0xBC改成0x70(?? 不知道有没有记对) 2010-1-8 15:05 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 97 楼附加之后大概半分钟就弹出非法模块 2010-1-9 02:02 0
lsmjj 雪币： 266 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 76 粉丝 0 关注私信	lsmjj 98 楼实在是牛学习能力强大 2010-1-9 14:38 0
iizhoupq 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	iizhoupq 99 楼没这么复杂，其实可以直接调试不用OD难道就都不可以活了 2010-1-10 00:05 0
sosososo 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	sosososo 100 楼怎么直接调试法？ 2010-1-10 21:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tufuzi

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (156) ◀ 1 2 3 4 5 6 7 ▶
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 76 楼 tufuzi老大我今天刚把 SHADOW SSDT 搞定了终于可以恢复它了但是恢复后就蓝了你说他是怎么个原理游戏里有又多了个驱动 Tesdrv.sys 好像叫这个这个函数没有HOOK任何的函数不知道他是干什么的，你说SHADOW SSDT没有效验但是恢复它蓝了，难道跟这个驱动有关？ 2009-9-26 23:53 0
南山小松雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	南山小松 77 楼 [QUOTE=tufuzi;691186]80642d34 39bebc000000 cmp dword ptr [esi+0BCh],edi xxx+0BCh，找这样的，不过并非所有的都要改，你要看看具体他干嘛[/QUOTE] 嗯我解决了,看了WINDOW的内核源码,但是对照着源码,把这几个函数所调用到DEBUGPORT的地方都改成 +078了,但是 OD附加任何程序都变成空白的了,就是载入不了目标程序,没卡住,没有代码,没有模块,OD空空的,应该是附加到某一步又有问题了,难道要把所有用到DEBUGPORT的函数都要改吗,我没有改创建DEBUGPORT结构的函数,会不会是这个问题呢,结构创建了指针还是写到+BC,但是这几个访问的函数都访问+78去了. 2009-10-1 04:25 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 78 楼最近老婆刚生完孩子，没什么时间上。。。呵呵你是怎么恢复的？ 2009-10-8 10:43 0
Music小冷雪币： 376 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 105 粉丝 0 关注私信	Music小冷 79 楼 Lz对CONTEXT的处理看的不是很明白我发现是DNF进程就把CONTEXT返回全改成0，结果游戏启动的时候直接退出了... 2009-10-8 14:50 0
雪的思念雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 47 粉丝 0 关注私信	雪的思念 80 楼很强悍,收藏起来学习了,感谢LZ 2009-10-24 01:49 0
haoshuaioo 雪币： 241 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 92 粉丝 0 关注私信	haoshuaioo 1 81 楼收藏一下！！ 2009-10-24 08:07 0
cyh 雪币： 242 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	cyh 82 楼不错,收藏起来 2009-10-24 11:37 0
西门飞雪雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	西门飞雪 83 楼貌似这个东东非常的强大 2009-10-25 13:29 0
yangjihang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	yangjihang 84 楼太感谢了，下来学习一下，谢谢 2009-10-25 13:30 0
daienming 雪币： 211 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 97 粉丝 0 关注私信	daienming 85 楼思路清晰，代码详细 2009-10-31 16:23 0
xixuegui 雪币： 73 活跃值： (70) 能力值： ( LV3，RANK：20 ) 在线值：发帖 13 回帖 78 粉丝 0 关注私信	xixuegui 86 楼学习中..看看 2009-10-31 17:23 0
korall 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	korall 87 楼一路看下来，竟没有注意到楼主是用汇编写的代码。。。最近汇编代码看得太多了呵呵楼主的文章不错 2009-10-31 19:38 0
speeches 雪币： 141 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 146 回帖 301 粉丝 2 关注私信	speeches 88 楼不错，很有技术含量含金量：五颗星 2009-11-2 00:52 0
zhangxue 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	zhangxue 89 楼在我的windbg 里怎么看不到 * After setting your symbol path, use .reload to refresh symbol locations. * ************************************************************************** Executable search path is: ******************************************************************* * Symbols can not be loaded because symbol path is not initialized. * * * * The Symbol Path can be set by: * * using the _NT_SYMBOL_PATH environment variable. * * using the -y <symbol_path> argument when starting the debugger. * * using .sympath and .sympath+ * ******************************************************************* * ERROR: Symbol file could not be found. Defaulted to export symbols for ntkrpamp.exe - KdDebuggerDataBlock not available! ***************************************************************************** WARNING: Local kernel debugging requires booting with kernel debugging support (/debug or bcdedit -debug on) to work optimally. ***************************************************************************** Windows XP Kernel Version 2600 MP (2 procs) Free x86 compatible Product: WinNt, suite: TerminalServer SingleUserTS Kernel base = 0x804d8000 PsLoadedModuleList = 0x8055e720 Debug session time: Fri Nov 6 19:21:28.046 2009 (GMT+8) System Uptime: 0 days 1:35:19.814 lkd> g ^ No runnable debuggees error in 'g' lkd> uf DbgkpMarkProcessPeb Couldn't resolve error at 'DbgkpMarkProcessPeb' 2009-11-7 20:14 0
落葉飛雪币： 133 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	落葉飛 90 楼楼主很强大~~学习研究中 2009-11-15 10:19 0
haoshuaioo 雪币： 241 活跃值： (35) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 92 粉丝 0 关注私信	haoshuaioo 1 91 楼强帖留名，膜拜！！ 2009-11-24 22:00 0
cxjnet 雪币： 235 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	cxjnet 92 楼好贴，留名，收藏 2009-11-24 23:51 0
mimihaha 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mimihaha 93 楼无限拜膜Lz一月成就，收藏细细研究...... 2009-12-2 11:03 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 94 楼可以附加程序了，附加之后暂停下来了，然后F9运行，大概十来秒程序就异常，有知道原因的吗 2010-1-8 03:39 0
HSQ 雪币： 381 活跃值： (140) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 95 楼收藏学习，汇编写的比C看着舒服 2010-1-8 12:04 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 96 楼很久没看TP了，记得以前直接修改代码段是要蓝屏的，TP写debugport的一段代码里0xBC这个常量是从data段读的，找到那个地址把0xBC改成0x70(?? 不知道有没有记对) 2010-1-8 15:05 0
fyfy 雪币： 124 活跃值： (205) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 54 粉丝 0 关注私信	fyfy 97 楼附加之后大概半分钟就弹出非法模块 2010-1-9 02:02 0
lsmjj 雪币： 266 活跃值： (204) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 76 粉丝 0 关注私信	lsmjj 98 楼实在是牛学习能力强大 2010-1-9 14:38 0
iizhoupq 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	iizhoupq 99 楼没这么复杂，其实可以直接调试不用OD难道就都不可以活了 2010-1-10 00:05 0
sosososo 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	sosososo 100 楼怎么直接调试法？ 2010-1-10 21:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复