;判断该线程是否存在 ;如果不存在则返回 0,存在则返回指向该链表的指针,1 代表链表为空 ExsitsLinkTable proc pHandle
;判断进程是否过虑进程 ;如果是需要过虑的进程返回值为 1,否则返回 0 IsFilterProcess proc
由于它不断对 DebugPort 清零,所以要修改调试相关函数,使得所有的访问 DebugPort 的地 方全部访问 EPROCESS 中的 ExitTime 字节,这样它怎么清零都无效了,也检测不到 代码:
由于我的 C 用的比较少,所以大部分都用的汇编,部分地方用汇编写不是很方便,所以我 用的 C,由于只是学习,所以内核地址我没有计算都是硬编码的。过 DNF 主要分为三步, 也许我的思路不太正确,反正可以 OD 调试,下断。 程序没怎么修边幅,因为只是测试,所以一般都没有写更改内核后的恢复,不过不妨碍使用。
绕过 NtOpenProcess,NtOpenThread,KiAttachProcess 以及最重要的,不能让它检测到有硬件断点,所以要对 CONTEXT 做一些伪装,把线 的数据存放到别的地方,OD 访问的时候返回正确的数据,如果是 DNF 要获取 上下文,就稍微做下手脚 代码:
第一步,这也是最起码的,你必须要能够打开游戏进程和线程,能够开打进程和线程后不被 检测到 第二步,能够读写进村内存 第三步,能够用 OD 附加游戏进程 第四步,能够下硬件断点而不被检测
【小编推荐】DNF国服体验服更新|雪人站街送蓝灵上衣…
www.dnfdk.com感谢大家的支持和认可!
