QQ游戏系列(寻仙,DNF等等)驱动保护TesSafe.sys

最新推荐文章于 2022-09-14 16:06:14 发布
最新推荐文章于 2022-09-14 16:06:14 发布
阅读量750 收藏 1
点赞数
文章标签: 游戏 qq hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanghan120/article/details/6021135
版权

QQ游戏系列(寻仙,DNF等等)驱动保护TesSafe.sys &V~l(1 
1.用RKU看一下SSDT和SSDTShadow,发现SSDT并没有被HOOK,SSDTShadow HOOK了5个调用: !dGu0wE 
NtUserBuildHwndList kD;pj3o&"2 
NtUserFindWindowEx $57b. +2n 
NtUserGetDC *n E kbI/ 
NtUserGetDCEx ,I5SAd|dX 
NtUserGetForegroundWindow rqmb<# Z 
想也不用想,肯定是为了防止其他软件找到他的窗口。 4RtAwB 
解决方法:在TesSafe加载前先加载自己的驱动,备份这5个调用的地址,等TesSafe加载后直接还原即可,或者直接用RKU还原,TesSafe并没有在这里加效验,所以比较容易。 0] 
2.既然SSDT没有没HOOK,那么肯定有inline hook,用windbg看一下,发现被inline hook的调用有如下几个: RM `qC 
NtReadVirtualMemory _,T 4DS6 
NtWriteVirtualMemory ;mk[! 
NtOpenProcess + 0x2xx Call ObOpenObjectByPointer处 i}DS+~8v 
NtOpenThread + 0x1xx Call ObOpenObjectByPointer处 '{jr9Vh 
KiAttachProcess l^Rb%?4Z 
解决方法: tWIJ,_8l 
(1). //FT.e6 
NtReadVirtualMemory )|lxzlk 
NtWriteVirtualMemory _2!8,MX 
这2个比较好解决,自己写2个调用,实现这2个调用的头10个字节,然后再跳转到这2个调用头10个字节后面的地址,再到SSDT表里把这2个调用地址改成我们自己的即可。 22CET9iCe 
(2). Zj_2>A 
NtOpenProcess + 0x2xx Tf86CH=)5 
NtOpenThread + 0x1xx P"Al*{:J 
在TesSafe加载前,先保存ObOpenObjectByPointer的地址(或者用MmGetSystemRoutineAddress获取),然后我们自己写一段代码,实现Call ObOpenObjectByPointer头N个字节(随便自己)以及Call ObOpenObjectByPointer,然后再jmp到Call ObOpenObjectByPointer后面的代码地址,如: -BSdrP| 
push eax +P2oQ_Fk`9 

wanghan120
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
逆向TesSafe.sys
08-25 3253
//------------------------------[IDA] => TesSafe.sys --------------------------------------//// File MD5: E780032179272AFD93BCF4A9A67C7706// Version: 0.0.6.5//-----------------------------------------
TP保护大放送MASM驱动最新源代码
11-23
TP保护大放送MASM驱动最新源代码 欢迎大家下载!
游戏驱动保护_我今年玩过的最好的故事驱动游戏
weixin_26744853的博客
07-27 756
游戏驱动保护2020 has been the year of video games for me. Even leaving aside the global pandemic that’s left many people at loose ends, I’d been on the lookout for a job since December 2019, and this year ...
tessafe.sys不兼容驱动程序怎么解决?
zym0218的博客
09-05 6944
有用户反映自己想要打开win11的内存完整性但是有一个名为tessafe.sys驱动程序一直删不掉,导致无法开启内存完整性,tessafe.sys不是病毒,如果删除会导致QQ的某些服务不能用,对于CF来说,删除无问题,测试在QQ堂如果删除会出错。下面小编给大家分享tessafe.sys不兼容驱动程序的解决方法。
tessafe.sys是病毒吗?tessafe.sys不兼容驱动程序如何解决?
xitongzhijianet的博客
09-14 1816
tessafe.sys不是病毒,如果删除会导致QQ的某些服务不能用,对于CF来说,删除无问题,测试在QQ堂如果删除会出错。C:\Windows\System32\TesSafe.sys 这个文件可以清空内容设只读,游戏目录下TesSafe.sys可以清空内容不能设只读。4.、这时候360会检测tessafe.sys为危险项,把他设为信任同时游戏里会生成2个tessafe.sys也都设成信任。2、先删除游戏里边的 tessafe.sys DNF里有2个 一个在直接进入的游戏文件里 另一个在start里。
最新绕过TX驱动保护TesSafe.sys方法
ccx_john的专栏
01-07 4201
前段时间看过 wanleidawa 兄弟发的帖子 【原创】搞定QQ游戏系列寻仙DNF等等)驱动保护TesSafe.sys,给我启发很大。 不过很多人可能对上面的内容不太能理解。我先简单说下他那里的意识,然后在描述下新的方法,来饶过现在的保护。 大家可以使用 反ROOTKIT程序22中文\Yas 来查看被HOOK的函数。这里还要插入一个小话题,就是关于驱动开发环境的搭建,当初也郁闷了我将近一
golang int64转string_Golang配置文件管理神器Viper(下)
weixin_39723920的博客
11-30 172
小编在上一篇文章《Golang配置文件管理神器Viper(上)》中讲解了viper是如何读取配置文件的,本文小编将继续学习和讲解viper的其他功能,包括写配置文件,监听配置文件变动,设置默认值,使用环境变量等操作。先看一下我demo的目录结构写配置文件从配置文件中读取配置文件是有用的,但是有时你想要存储在运行时所做的所有修改。为此,可以使用下面一组命令,每个命令都有自己的用途:WriteConf...
TPdisabledebugger.zip_tp双机调试_双机调试_过tp_过tp保护驱动_过保护.sys
07-14
过TP驱动保护之禁止双机调试源码,修改Fuckdisabledebugger函数与TesSafe.sys
驱动保护TesSafe(读写内存OD能附加下硬件断点) (1).pdf
最新发布
11-11
。。。
TesSafe[1].sys ASM原码
03-25
TesSafe[1].sys ASM原码
Win7系统无法玩QQ游戏怎么办.docx
09-27
- **操作说明**:在`C:\WINDOWS\system32`目录中找到一个名为`TesSafe.sys`的文件(根据上下文推测应该是笔误,实际应为`win32k.sys`),右键单击该文件,选择“打开方式”。 - **注意事项**: - 在实际操作过程中...
TP驱动易语言源码
12-14
Read_通信结构 (通信参数, 缓冲区, 12)
过TX驱动保护VS写法 和成品
01-15
过TX驱动保护VS写法 和成品 自己测试
进程创建时 ObOpenObjectByPointer 导致蓝屏
02-04 2158
找到一篇有关文章,先摘抄下来。剩下最后一段以后再翻译 原文地址:http://uninformed.org/index.cgi?v=1&a=5&p=5 进程执行的临界时段是指在新的进程对象实例被nt!ObCreateObject创建 和该进程对象被nt!ObInsertObject插入到进程对象类型表之间的时段。在该时段尝试获取进程的句柄是不安全的,比如使用nt!ObOpe
易语言中findwindowEx的用法
autumngold的专栏
06-10 1851
函数功能 在窗口列表中寻找与指定条件相符的第一个子窗口 。 该函数获得一个窗口的句柄,该窗口的类名和窗口名与给定的字符串相匹配。这个函数查找子窗口,从排在给定的子窗口后面的下一个子窗口开始。在查找时不区分大小写。 说明 在窗口列表中寻找与指定条件相符的第一个子窗口 返回值 Long,找到的窗口的句柄。如
搞定QQ游戏系列寻仙DNF等等)驱动保护TesSafe.sys
老裴
01-21 3556
1.用RKU看一下SSDT和SSDTShadow,发现SSDT并没有被HOOK,SSDTShadow HOOK了5个调用:NtUserBuildHwndListNtUserFindWindowExNtUserGetDCNtUserGetDCExNtUserGetForegroundWindow想也不用想,肯定是为了防止其他软件找到他的窗口。解决方法:在TesSafe加载前先加载自己的驱动,备份这5
过TP保护与解除游戏驱动保护(可以借鉴)
热门推荐
eldn__的专栏
02-23 4万+
TP 是国内腾讯游戏一款比较流行的驱动保护程序.  负责保护腾讯每款游戏不被修改破坏,     也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会  例如OD与CE无法进行如以下操作:  无法附加进程,  无法打开进程,  游戏进程被隐藏无法在工具中查看到, 内存无法读取代码   内存修改后游戏掉线    无法双机进行调试   出现SX非法模块提示 ` 其实以上
DNF TP 驱动保护(一)
weixin_34032827的博客
06-09 1699
文章目录:                   01. 博文简介: 02. 环境及工具准备: 03. 分析 TP 所做的保护: 04. 干掉 NtOpenProcess 中的 Deep InLine Hook: 05. 干掉 NtOpenThread 中的 Deep InLine Hook: 06. 干掉 NtReadVirtualMemory 中的 InLine Hook: 0...
TesSafe.sys驱动保护技术:读写内存与硬件断点
本文档主要讨论了如何使用 TesSafe.sys 进行过驱动保护,以及在过保护后如何实现读写内存和附加硬件断点,适用于计算机科学(CS)领域的学习者,特别是对游戏外挂制作技术感兴趣的人员。 在计算机安全和逆向工程的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值