过TP驱动保护

过TP驱动保护

http://www.cnblogs.com/einyboy/archive/2012/06/14/2548716.html


从_TP开始入手

http://bbs.pediy.com/showthread.php?t=126802


游戏保护大放送之TP
http://www.2cto.com/Article/201205/130626.html


游戏保护之实战篇一
http://www.2cto.com/Article/201205/130627.html


CreateProcess流程分析
http://bbs.pediy.com/showthread.php?t=114611


Windows内存与进程管理器底层分析
http://www.cnblogs.com/zudn/archive/2010/12/29/1920593.html



[XueTr][SSDT]: 19
序号 函数名称 当前函数地址 Hook 原始函数地址 当前函数地址所在模块
[*]33 NtCreateDebugObject0x894C4EF1 inline hook0x80643BD6 未知模块
[*]57 NtDebugActiveProcess0x894C4F31 inline hook0x80644CB2 未知模块
[*]58 NtDebugContinue0x894C50B3 inline hook0x80644E02 未知模块
[*]122 NtOpenProcess0x894C2E79 ssdt hook0x805CC486 未知模块
[*]186 NtReadVirtualMemory0x894C3010 ssdt hook0x805B52F6 未知模块
[*]269 NtWaitForDebugEvent0x894C4FD1 inline hook0x806444B4 未知模块
[*]277 NtWriteVirtualMemory0x894C316A ssdt hook0x805B5400 未知模块
[*]267 NtUnmapViewOfSection0x805B3E7C inline hook0x805B3E7C C:\WINDOWS\system32\ntkrnlpa.exe




[XueTr][ShadowSSDT]: 3
序号 函数名称 当前函数地址 Hook 原始函数地址 当前函数地址所在模块
[*]312 NtUserBuildHwndList0x894C8F36 ssdt hook0xBF834655 未知模块




[XueTr][1.exe-->Ring3 Hook]: 6
挂钩对象 挂钩位置 钩子类型 挂钩处当前值 挂钩处原始值
[*]len(5) ntdll.dll->DbgBreakPoint 0x7C92120E->_inline C3 C3 8B FF C3CC C3 8B FF CC
[*]len(1) ntdll.dll->DbgUiIssueRemoteBreakin 0x7C972149->_ inlineC3 8B
[*]len(1) ntdll.dll->DbgUiRemoteBreakin 0x7C9720EC->_inline C36A
[*]len(1) ntdll.dll->DbgUserBreakPoint 0x7C921212->_inline C3CC
[*]len(5) kernel32.dll->ExitProcess 0x7C81D20A->0x00431F60[1.exe]inline E9 51 4D C1 838B FF 55 8B EC
[*]len(5) kernel32.dll->LoadLibraryExW 0x7C801AF5->0x00B841B0[1.exe]inline E9 B6 26 38 846A 34 68 F8 E0


  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值