Tersafe.sys的Tricky

最新推荐文章于 2024-08-26 09:27:33 发布
最新推荐文章于 2024-08-26 09:27:33 发布
阅读量1.6k 收藏
点赞数
分类专栏: 技术人生 文章标签: hook descriptor service table delete 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smallfool/article/details/4190718
版权
博客详细讨论了Tersafe.sys如何通过HOOK Shadow Service Descriptor Table中的Win32K.Sys导出服务,如NtGdiSetVirtualResource等。尽管可以通过RootKit Unhooker发现并尝试恢复,但Tersafe.sys可能进行动态监测,导致恢复过程复杂。博主试图编写程序恢复被HOOK的NtOpenProcess,但在测试中导致蓝屏和设备问题,指出卡巴斯基的广泛驱动层HOOK可能影响系统性能和稳定性。
摘要由CSDN通过智能技术生成
使用RootKit Unhooker可以很容易的发现Tersafe.sys对Shadow Service Descriptor Table进行了HOOK,但基本上是静态HOOK,即在Tersafe.Sys启动的时候会替换Shadow table中对应的原始System Service,主要是如下几个函数:NtGdiSetVirtualResource、NtUserSetClipboardData、NtUserQueryWindow、NtUserGetDC、NtUserGetDCEx、UserBuildHwndList、NtUserExcludeUpdateRgn、NtUserGetForegroundWindow、NtUserWindowFromPoint等Win32K.Sys导出的系统服务。替换成Tersafe.sys相应的服务; 网上有相关的资料是解决这个tricky的,在应用层,用户就可以FindWindow,GetWindowThreadProcessById等函数来获得进程ID号。 但依然无法使用OpenProcess打开进程。 打开Windbg,进入本地(Local)的Kernel Debug; lkd> x nt!NtOpenProcess 805cc408 nt!NtOpenProcess = 然后 lkd> u nt!NtOpenProcess nt!NtOpenProcess: 805cc408 68c4000000 push 0xc4 805cc40d e9c4415e3a jmp babb05d6 //这里很明显被Inline HOOK, 805cc412 e87907f7ff call nt!_SEH_prolog (8053cb90) 805cc417 33f6 xor esi,esi 805cc419 8975d4 mov [ebp-0x2c],esi 805cc41c 33c0 xor eax,eax 805cc41e 8d7dd8 lea edi,[ebp-0x28] 805cc421 ab stosd 由于卡巴斯基也会静态H
最低0.47元/天 解锁文章
smallfool
关注
专栏目录
逆向TesSafe.sys
08-25 3262
//------------------------------[IDA] => TesSafe.sys --------------------------------------//// File MD5: E780032179272AFD93BCF4A9A67C7706// Version: 0.0.6.5//-----------------------------------------
英雄联盟提示tersafe.dll已损坏怎么办?英雄联盟提示tersafe.dll已损坏快速修复方法介绍
onecdll的博客
03-28 627
英雄联盟tersafe.dll是一个帮助lol完结解决游戏时提示tersafe.dll损坏的dll文件,但是有玩家在玩这个游戏的时候提示:tersafe.dll已损坏,该怎么解决呢?下面一起来看看吧!
tenrpcs.dll内的c语言,lol文件缺失tersafe.dll怎么办 进游戏显示文件损坏tenrpcs.dll
weixin_39882317的博客
05-23 569
进游戏的时候竟然提示什么文件损坏,然后蹦出个tersafe.dll损坏的消息出来,话说这什么意思,没看懂啊,难道是游戏缺少什么文件,或者说什么文件损失了,要重新下载做个替换的意思么?基本的解决思路都是对的哦。给到最简单的解决方法,一般出现这个问题,直接点击确定就好了,而玩家要做的就是重新启动游戏的客户端,部分玩家会在启动的这个过程中看到系统会自动的媳妇这个问题,这是最好的,也不需要自己去排查到底是...
tersafe.dll文件损坏怎么修复?修复指南分享
最新发布
L12meng的博客
08-26 462
在日常使用计算机过程中,偶尔会遇到系统文件损坏的问题,如tersafe.dll文件损坏,这可能会影响某些程序的正常运行。幸运的是,修复这一问题通常较为直接,以下是一份详细的修复步骤指南,帮助您解决tersafe.dll文件损坏的问题。当您收到类似于“tersafe.dll找不到”或“tersafe.dll错误”的提示时,首先确认该问题是否确实由tersafe.dll文件损坏引起。之后,尝试重新运行之前报告tersafe.dll错误的程序,检查问题是否已经解决。重启计算机,以使更改生效。
第一个游戏外挂,附上详细制作过程
mysouling的专栏
03-13 8465
本教程分为几大部分 一、  先创建外挂对话框,定义外挂所需要的基本功能 二、  找出棋盘数组的地址,读出棋盘数据 三、  编写实现消去棋子的代码框架 四、  实现消去棋子功能 五、  修补与完善外挂 一、  先创建外挂对话框,定义外挂所需要的基本功能 1.   创建对话框:   创建一个MFC工程对话框 打开VC++软件  选择¬¬------>(File)文件--
dnf防封 不知行不行 网上见的
TMDBug
04-03 2048
没有下载防封处理文件怎么办? 网络中断后怕封号的。首先找到DNF主目录 之后 步骤1:  找DNF.exe(大小22MB) 右键属性
体验服原so.zip
03-30
压缩包内的“libtersafe.so”文件,根据命名习惯,"lib"通常代表这是一个库文件,而“tersafe”可能是库的名字,暗示这是一款名为“Tersafe”的安全相关的库。具体来说,它可能包含以下几种功能: 1. 数据加密:在...
对CrossFire根目录下的窥探和分析(Lithtech引擎)
chenlian2409的博客
09-13 3750
今天无聊研究起了舍友装在我电脑上穿越火线,暂且放开CF的性能低效,在低端机器上运行速率十分不客观,还有那一般的画质,...客观地去研究一个游戏的结构,文件组成是一个程序猿好的习惯. CF的图形渲染采用DirectX,版本的话根据CF根目录下的DLL判断应该是DX9,并且支持采用Vista以及W...
使用NtUserBuildHwndList遍历窗口_win7x64
zhuhuibeishadiao
06-08 5848
在我的上一篇文章中讲到 http://blog.csdn.net/zhuhuibeishadiao/article/details/51604788 枚举窗口 使用EnumWinodws是调用内核中NtUserBuildHwndList 这个函数最后2个参数必须是R3的地址 不然会返回0xC0000008错误,并且如果使用控制台窗口测试,这时ETHREAD下的win32Thr
LOL过检测技術
热门推荐
weixin_40267435的博客
02-13 2万+
1.稳定注入姿势 2.处理TenRpcs检测CLL 3.处理TCJ 4.探测GameRpcs 笔者最近迷上LOL,中低分段总是有脚本,被虐的很惨 然后笔者去市场上买来几款外挂,配合防封,然后小逆了一下,发现市场上的防封软件大多是通对游戏 LoadLibraryExW 挂钩子,让某些检测模块不加载,在这种情况下,阻断了通讯,这样可以稳定的玩游戏5局左右,之后就会封7天或者三年,如果处理了TenRpc...
从应用层解决TP类游戏无法读写,可OD附加
yudian666的博客
10-05 3290
废话不说,本来是给一个人录制的,反正一会一传十十传百。我就索性它放出来让它加速和谐。 1.解决内存操作工具无法对DNF进行读写(TP类游戏都能只要是用到xxxBase.dll都可以). 2.内容有去除tersafe.sys加载(修改好一定要用tgp登陆可能DNF还有ClientBase.dll这个可能会加载驱动).      无法读写的原因就是DNF不仅会加载一个驱动(
x86下windbg查看SSDT表与SHDOWSSDT
kernweak的博客
05-23 2032
x64下这两个表是未导出的,不能用这种 首先系统符号要加载 SSDT表: x nt!kes*des*table* kd> x nt!KeServiceDes* 83f74a00 nt!KeServiceDescriptorTableShadow = <no type information> 83f749c0 nt!KeServiceDescriptorTable = ...
unity3d引擎的游戏的脚本DUMP及HOOK方案优化
大星星的专栏
01-10 1万+
对unity3d引擎的游戏,重要的资源就是C#脚本,脚本是被打包到APK的assets目录下的一些dll文件,有的APP可能会对其加密,运行的时候再动态解密。可以通过HOOK libmono.so中的函数mono_image_open_from_data_with_name就可以DUMP出原始内容,如果加入的有其他加解密代码,可以进一步地对解密函数进行HOOK,也是可以DUMP出内容的。下面这个是以
libtersafe文件下载_tersafe.dll官方版下载
weixin_36354817的博客
12-31 1068
系统的文件那可真的是缺一不可,就比如tersafe.dll文件如果缺失的话,很有可能会造成你的一些大型网络游戏,甚至是一些常用软件打不开的情况,这个时候你要做的当然不是去更换主机了,而是来旋风软件园下载它就可以了!tersafe.dll文件官方介绍tersafe.dll是存放在Windows系统中的一个非常重要dll文件,缺少它就会造成部分软件或游戏不能正常运行。当用户的电脑弹出提示“无法找到te...
Win7 64Bit 玩DNF设置方法
mAKER's Blog
06-08 4109
因为现在用WIN 7的人越来越多了 而且 大内存用户也越来越多了 很多功能大家都不是很了解 ``` 第一步:开始运行---gpedit.msc 找到计算机配置下的--管理模板 第二步:单击管理模板下的---windows组件---在右边找到---应用程序兼容性 第三步:在右边找到关闭成寻兼容性引擎---双击---把里面的未配置改为---已启用 第四步:在找到关闭程序兼
win10修改编辑C:\Windows\System32\drivers\etc\hosts文件无法保存的解决方法
weixin_43324314的博客
04-04 1万+
在win浏览器使用虚拟机主机名访问的时候需要在hosts文件中添加配置,但是在编辑保存时往往会显示出错显示无权限,这时候需要修改文件的属性配置。 1.右击文件后点击【属性】——【安全】——【高级】 2.点击【添加】 3.点击【选择主体】 4.点击【高级】 5.点击【立即查找】 6.在下方找到自己的当前用户(大概就是锁定时候出现的那个要密码登录的用户名),然后点击【确定】 7.把可以选择...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值