u012129783的博客

在win7 x32系统上安装TP 御龙在天游戏，运行游戏后提示：解决方法：找到虚拟机的vmx，记事本方式打开，在末尾添加添加：monitor_control.restrict_backdoor = “true” 即可...

问题：始终无法找到ntkrpamp.pdb的调试符号，查看Symbol path:SRVD:\symbolcache http://msdl.microsoft.com/download/symbols这个是第一次使用windbg的时候设置的，后来要调试win7 x86旗舰版，所以调试器去找调试符号的时候先到D:\symbolcache这个路径找，而这里面已经存在多个版本的ntkrpamp.p...

在windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt在windbg中查看shadow ssdt：0: kd> lmstart end module name804d8000 806e3000 nt (pdb symbols) I:...

测试游戏：征途1系统win7 x861，现象：开启征途1后，打开OD或者PCHunter，Hp就立刻检测到了，立即退出，并提示错误码。或者先打开OD和PChunter，同样Hp立刻检测到了，立即退出，并提示错误码。2，解决方法：为了不让hp知道我开启饿OD和PcHunter，采用进程隐藏的方法。进程隐藏的方法有很多，很多游戏保护都会使用API来枚举进程，底层是遍历进程链表。笔者，隐藏...

用IDA打开psapi.lib，每次只能查看一个文件，很麻烦，而且这里面的函数都调用了外面的导入函数，而这些导入函数来自于下面是enumprocess的的实现，里面重要的函数就是NtQuerySystemInformation，使用5号功能枚举信息。OD中无法枚举到游戏进程跟这个函数有关。在IDA中，.text:76BC3A9A public EnumPro...