过TP驱动4(硬件断点部分)

最新推荐文章于 2021-08-25 11:40:45 发布
最新推荐文章于 2021-08-25 11:40:45 发布
阅读量2.7k 收藏 4
点赞数
分类专栏: 驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guoyi987/article/details/7365446
版权

 NtGetThreadContext

NtSetThreadContext

需要处理一下

 

 概念性代码:

 

NTSTATUS MyNtGetThreadContext(HANDLE hThread, PCONTEXT pContext)
{
	PEPROCESS p = IoGetCurrentProcess();
	NTSTATUS status ;

	if ( strncmp((char*)p + 0x174, "DNF.exe",6) == 0)
	{
		if (MmIsAddressValid(pContext))
		{
			pContext->Dr0 = 0;
			pContext->Dr1 = 0;
			pContext->Dr2 = 0;
			pContext->Dr3 = 0;
			pContext->Dr7 = 0;
		}

	}else{
		status = RealNtGetContextThread(hThread,pContext);
	}

	return status;
}


 

 

NTSTATUS MyNtSetThreadContext(HANDLE hThread, PCONTEXT pContext)
{
	PEPROCESS p = IoGetCurrentProcess();
	NTSTATUS status ;

	if ( strncmp((char*)p + 0x174, "DNF.exe",6) == 0)
	{
		if (pContext->Dr7==0x101)
		{
			status = RealNtSetContextThread(hThread,pContext);
		}
	}else{
		status = RealNtSetContextThread(hThread,pContext);
	}

	return status;
}

 

 


 

 

nu2987
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2159
前言 我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址的hook,一类则是基于修改函数代码的hook。而基于修改函数地址的hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
[调试器实现]第三章 硬件断点
dog0230的博客
05-10 638
硬件断点介绍 硬件断点,顾名思义是由硬件提供给我们的调试寄存器组,我们可以对这些硬件寄存器设置相应的值,然后让硬件帮我们断在需要下断点的地址。 硬件断点是CPU提供的功能,所以要怎么做就得听CPU的硬件寄存器的了。先来看看关于硬件寄存器的说明。Intel80386以上的CPU 提供了调试寄存器以用于软件调试。386和486拥有6个(另外两个保留...
绕过游戏保护硬件断点检测
02-25
通用绕过游戏保护的硬件断点检测 调试游戏能轻松下断点不检测 兼容各大游戏保护各系统
硬件断点检测与绕过
weixin_33834137的博客
06-20 2063
此时Dr0为4271B5,表示4271B5地址处被设置了硬件断点。现在我们来看看CONTEXT结构。 这里我们可以看到context结构中Dr0~Dr3寄存器的内容。黄色标注的4271B5是我们设置了硬件断点的地址。其他三个粉红色标注的位零,因为我们只设置了一个硬件断点,所以它们是空的。 当异常处理完毕以后,context中的值将被清零,我们一起来看一看,直接运行起来,断在第二个断...
硬件断点
mqzzqian的专栏
06-08 2630
本文转自梦织未来(www.mengwuji.net) 地址:http://www.mengwuji.net/forum.php?mod=viewthread&tid=1404 作者:mengwuji 检测硬件断点,是一件很有趣的事儿,至少这玩意儿可以让xx工具威力丧失一半儿。不过对于这方面的探讨是比较少的,主要在于一般检测硬件断点的方法,不外乎用NtGetContextT
检测当前进程是否存在硬件断点
把梦想放飞在蓝色的天空里...
09-18 3102
当前一些外挂为了躲避检测,不会去patch游戏内存代码,而使用硬断的方式来间接修改。 以下代码片段为了检测当前进程是否存在硬件断点而写: char buff[MAX_PATH] = {0}; DWORD __stdcall ThreadFunc(void* param) { DWORD dwID = GetCurrentProcessId(); HANDLE hSnap = Creat
2.VT调试器之无限硬件断点.rar
10-20
用VT调试器来代替传统的OD调试器
如何绕过反调试技术——PhantOM插件总结
weixin_43742894的博客
04-10 2536
PhantOM是OllyDbg的一款插件,可以用来绕过大多数的反调试技术,功能十分强大,所以单独对这个插件进行使用总结。(Ps:现在似乎不怎么常用,在64位下的兼容性比较差,现在比较常用的是sharpOD,但因为在《恶意代码分析实战》接触PhantOM较多,所以先对之进行总结) 一、如何安装 OD的插件都比较简单,首先是找到插件的资源下载,将插件的dll放到OD目录下的plugin文件夹下即可。 ...
Windows NT内核函数大全
qq_42577465的博客
06-06 1558
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
tp驱动.zip_TP_TP保护_tp驱动_过TP保护_过tp
07-13
4. **触摸板手势控制**:过TP驱动可能支持多指手势,如两指滑动、三指切换应用等,提供更丰富的交互体验。 TP驱动的更新和优化对于提升用户体验至关重要。有时,用户可能会遇到触摸板反应不灵敏、无法识别手势或者...
D3D8劫持,跟下硬件断点调试异常可以过CRC校验哦..
06-12
D3D8通用游戏劫持,之前在做DNF的时候需要调试一些地址异常,就弄了一个劫持去调试,现在没用了,具体有需要的自己去改,硬件断点调试异常可以过CRC校验哦..,有时间整理一个易语言的版本..
全局过TP驱动保护检测
11-29
全局过TP驱动保护检测是计算机硬件安全领域中的一个重要概念,主要涉及到系统稳定性和硬件设备的保护。"过TP"通常指的是过电流保护(Overcurrent Protection),而"过TX"则可能指的是过电压保护(Overvoltage ...
过腾讯TP驱动保护教程
10-07
最新的,主要讲了如何分析TP各种HOOK和写驱动代码去过掉TP所有HOOK,自己下了看吧
tp.rar_TP_TP保护_tp驱动_过TP驱动_过tp下载
最新发布
09-21
【标题】"tp.rar_TP_TP保护_tp驱动_过TP驱动_过tp下载"指的是与某个游戏保护机制相关的驱动程序和工具,尤其是针对“TP”(可能是“T平安”或某种防作弊系统的简称)的绕过技术。这个压缩包可能包含了帮助用户通过TP...
TP驱动测试版
11-04
TP驱动测试版。
漫谈兼容内核之十九:Windows线程间的强相互作用
周寅的专栏
03-13 1897
     在现代的计算机系统中,一项作业(Job)往往需要多个进程或线程的协作,而操作系统则要为进程或线程间的协作提供基础设施和机制上的支持。操作系统、特别是内核,提供什么样的设施和手段,系统中的进程之间和线程之间就会有什么样的相互作用。如果把一个系统比作一个社会,那么系统中的进程和线程就好像是社会中的成员。成员的行为和成员之间的关系有其“社会性”的一面、即互相影响的一面。例如一个线程的调度优先级
Win32下常见反调试技术
HexRain的专栏
12-17 4902
1 探索内存差异 跟到的一个IceSword用户层程序中的一个反调试代码: (跟Kernel32!IsDebuggerPresent函数的实现方法一致) mov     eax, dword ptr fs:[18]     当前进程TEB->Ptr32 _NT_TIB mov     eax, dword ptr [eax+30]     eax+30h是peb的地址 movzx
YJX基础44 __declspec(naked)
mfmfmmf1的专栏
08-25 2403
(在写驱动时)如果函数前不加__declspec(naked) 编译时编译器会自作主张补上栈移动和return,这样会破坏栈平衡 void __declspec(naked) NTSTATUS _MyNtGetThreadContext(HANDLE hThread, PCONTEXTpcontext) { __asm{ jmp dword ptr[g_NtGetThreadContext] //...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值