驱动
nu2987
这个作者很懒,什么都没留下…
展开
-
驱动加载工具(VC7源码)
开发环境VC7 + DDK 3790.1830 XP SP3 用来做些简单的驱动测试不错。 CSDN下载地址:http://download.csdn.net/detail/guoyi987/4077345原创 2012-02-21 01:14:54 · 588 阅读 · 0 评论 -
过GPK驱动
NtCreateThreadNtProtectVirtualMemoryNtQueueApcThreadNtTerminateProcessNtWriteVitualMemoryKe386IoSetAccessProcess KeAttachProcess KeInitalizeApc KeStackAttachProcess ObCheckObjectAc原创 2012-02-25 02:05:18 · 2061 阅读 · 0 评论 -
过TP驱动1(SSDT部分)
#include #include #include typedef struct _ServiceDescriptorTable { PVOID ServiceTableBase; PVOID ServiceCounterTable; unsigned int NumberOfServices; PVOID ParamTableBase; }*PSe原创 2012-02-24 22:17:30 · 894 阅读 · 0 评论 -
过TP驱动2(附加部分)
DbgkpQueueMessage;DbgkpSetProcessDebugObject;这两个函数头部被挂钩 OD附加进程,有4个函数需要调用上面的两个函数,hook修复之, DbgkpPostFakeThreadMessages DbgkpPostFakeThreadMessages NtDebugActiveProcessDbgkpSendApiMess原创 2012-03-17 23:48:26 · 1221 阅读 · 1 评论 -
过TP驱动3(清零部分)
windbg下 ,断点 ba w1 EProcess+BC,能找到2-4处清零的代码,但是不能直接恢复或者hook代码段, 要先干掉CRC,否则会被重启电脑。ba e1 清零代码,能找到1-2处CRC校验。 CRC干掉了,清零就可以处理了。原创 2012-03-17 23:53:38 · 1198 阅读 · 0 评论 -
过TP驱动4(硬件断点部分)
NtGetThreadContextNtSetThreadContext需要处理一下 概念性代码: NTSTATUS MyNtGetThreadContext(HANDLE hThread, PCONTEXT pContext){ PEPROCESS p = IoGetCurrentProcess(); NTSTATUS status ; if ( s原创 2012-03-17 23:58:57 · 2745 阅读 · 0 评论 -
过TP驱动5(双击调试)
windbg下,ret掉KdDisableDebugger。 然后TP驱动里面会出现死循环,从KdDisableDebugger开始单步跟,nop掉循环判断, 继续单步跟,会发现紧接着一个自写的KdDisableDebugger函数,同样咔嚓掉。原创 2012-03-18 00:05:01 · 1531 阅读 · 0 评论 -
过TP效果测试
测试了5个游戏。最后测试日期2012.3.18 QQ西游,QQ三国TP为同一版本C9,DNF登陆框TP为同一版本DNF,御龙在天TP为同一版本 QQ西游 QQ三国 第九大陆 DNF 御龙在天 御龙在天的TP好像还有点特别的处理,叶殇的OD才附加上了原创 2012-03-18 01:17:39 · 2509 阅读 · 3 评论