guoyi987的专栏

测试了5个游戏。最后测试日期2012.3.18 QQ西游，QQ三国TP为同一版本C9，DNF登陆框TP为同一版本DNF，御龙在天TP为同一版本  QQ西游  QQ三国 第九大陆 DNF 御龙在天  御龙在天的TP好像还有点特别的处理，叶殇的OD才附加上了

windbg下，ret掉KdDisableDebugger。 然后TP驱动里面会出现死循环，从KdDisableDebugger开始单步跟，nop掉循环判断， 继续单步跟，会发现紧接着一个自写的KdDisableDebugger函数，同样咔嚓掉。

NtGetThreadContextNtSetThreadContext需要处理一下  概念性代码： NTSTATUS MyNtGetThreadContext(HANDLE hThread, PCONTEXT pContext){ PEPROCESS p = IoGetCurrentProcess(); NTSTATUS status ; if ( s

windbg下 ，断点 ba w1 EProcess+BC，能找到2-4处清零的代码，但是不能直接恢复或者hook代码段， 要先干掉CRC，否则会被重启电脑。ba e1 清零代码，能找到1-2处CRC校验。 CRC干掉了，清零就可以处理了。

DbgkpQueueMessage;DbgkpSetProcessDebugObject;这两个函数头部被挂钩  OD附加进程，有4个函数需要调用上面的两个函数，hook修复之， DbgkpPostFakeThreadMessages DbgkpPostFakeThreadMessages NtDebugActiveProcessDbgkpSendApiMess

NtCreateThreadNtProtectVirtualMemoryNtQueueApcThreadNtTerminateProcessNtWriteVitualMemoryKe386IoSetAccessProcess KeAttachProcess KeInitalizeApc KeStackAttachProcess ObCheckObjectAc

#include #include #include typedef struct _ServiceDescriptorTable { PVOID ServiceTableBase; PVOID ServiceCounterTable; unsigned int NumberOfServices; PVOID ParamTableBase; }*PSe

开发环境VC7 + DDK 3790.1830       XP SP3      用来做些简单的驱动测试不错。 CSDN下载地址：http://download.csdn.net/detail/guoyi987/4077345

VC6源码，XP，2003测试正常运行。 效果：   网页排版不方便，详细教程写word文档了。 CSDN下载：http://download.csdn.net/detail/guoyi987/4074643

VC7开发，XP，2003下测试正常运行。 效果截图：搜索三十多个call，偏移，地址数据，瞬间出来。    CSDN下载地址：http://download.csdn.net/detail/guoyi987/4072764  1.0和1.1的版本，最先在广海和VB梦工厂发布了。相对于1.1，更新了搜索不到的结果显示为0，保存和加载文件路径改为上次使用的

原本在VB梦工厂发过，也整理到这里来吧。VC6开发，XP，2003测试正常运行。  远程注入方式实现LoadLibrary，FreeLibrary附带遍历进程和模块dll功能。svchost等的系统进程不能遍历，没做处理。用了破解的皮肤组件，可能360之类的软件会唧唧歪歪，不喜欢的可以去到代码里面去掉相关代码和调用的文件。 CSDN下载地址：http:/

以前做过的一个小工具(VB6开发，XP，2003系统正常运行) CSDN下载：http://download.csdn.net/detail/guoyi987/4072596   技术原理：1.修改注册表中的一个项。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbstor当 Start 项 值为

≤1451651832,48393167,35914642≥≤1451672682,40852480,45028059≥≤1773834257,25134611,29251790≥