御剑残风

摘要： 过 DNF TP 驱动保护（二）文章目录：01. 博文简介：02. 环境及工具准备：03. 分析 TP 所做的保护：04. 干掉 NtOpenProcess 中的 Deep InLine Hook：05. 干掉 NtOpenThread 中的 Deep InLine Hook：06. 干掉 NtReadVirtualMemory 中的 InLine Hook：07. 干掉 NtWriteVirtualMemory 中的 InLine Hook：08. 干掉 KiAttachProcess 的 InLine Hook：09. 干掉 NtGetContextThread 中的 InLine Hoo 阅读全文

摘要： 过 DNF TP 驱动保护（一）文章目录：01. 博文简介：02. 环境及工具准备：03. 分析 TP 所做的保护：04. 干掉 NtOpenProcess 中的 Deep InLine Hook：05. 干掉 NtOpenThread 中的 Deep InLine Hook：06. 干掉 NtReadVirtualMemory 中的 InLine Hook：07. 干掉 NtWriteVirtualMemory 中的 InLine Hook：08. 干掉 KiAttachProcess 的 InLine Hook：09. 干掉 NtGetContextThread 中的 InLine Hoo 阅读全文

摘要： 【转】某超级模块中游戏双开功能实现超级模块中有个双开功能，能够双开腾讯的大部分游戏，例如DNF。于是就下载模块下来分析了一下。随便在网上找一个用超级模块写的双开工具。然后OD载入，下bpDeleteFileA断点。为什么要下deleteFile断点，而不是CreateFile，是因为该模块注册驱动文件后就会将驱动文件删除。下了断点之后点击启动双开的时候，OD断下。查看堆栈，可以看到写出的驱动路径。将驱动文件拷贝出来，文件大小只有3kb，用IDA打开。代码:INIT:00010985;NTSTATUS__stdcallDriverEntry(PDRIVER_OBJECTDriverObject, 阅读全文