超价值-游戏保护方面的资料
(1)无法读写游戏进程的内存,是因为保护SSDT HOOK了NtOpenProcess,NtReadVirtualMemory,NtWriteVirtualMemory,当然还有一个NtTerminateProcess(这个有什么用?)。恢复或绕过去,大家就可以自由地读写它的数据了。
(2)一打开OD,OD即卡住,是因为它inline HOOK了NtDebugActiveProcess, NtCreateDebugObject, NtWaitForDebugEvent, NtDebugContinue,这个用SSDT HOOK对抗inline HOOK即可,最好合理利用MHZX的资源,大家好好想一下。
(3)如果你过了前两步,会发现OD虽然能打开,但是连游戏之外的程序也不能调试,一调即卡住,是因为DbgkpProcessDebugPortMutex被流氓了,这个就仁者见仁,智者见智了,我曾在别的贴子上见过有人用process explorer停住了驱动线程,方法是相当地挫啊!
**** Hidden Message *****
页:
[1]