過TP驅動保護

過TP驅動保護

http://www.cnblogs.com/einyboy/archive/2012/06/14/2548716.html

從_TP開始入手

http://bbs.pediy.com/showthread.php?t=126802

遊戲保護大放送之TP
http://www.2cto.com/Article/201205/130626.html


遊戲保護之實戰篇一
http://www.2cto.com/Article/201205/130627.html

CreateProcess流程分析
http://bbs.pediy.com/showthread.php?t=114611

Windows內存與進程管理器底層分析
http://www.cnblogs.com/zudn/archive/2010/12/29/1920593.html

[XueTr][SSDT]: 19
序號 函數名稱 當前函數地址 Hook 原始函數地址 當前函數地址所在模塊
[*]33 NtCreateDebugObject0x894C4EF1 inline hook0x80643BD6 未知模塊
[*]57 NtDebugActiveProcess0x894C4F31 inline hook0x80644CB2 未知模塊
[*]58 NtDebugContinue0x894C50B3 inline hook0x80644E02 未知模塊
[*]122 NtOpenProcess0x894C2E79 ssdt hook0x805CC486 未知模塊
[*]186 NtReadVirtualMemory0x894C3010 ssdt hook0x805B52F6 未知模塊
[*]269 NtWaitForDebugEvent0x894C4FD1 inline hook0x806444B4 未知模塊
[*]277 NtWriteVirtualMemory0x894C316A ssdt hook0x805B5400 未知模塊
[*]267 NtUnmapViewOfSection0x805B3E7C inline hook0x805B3E7C C:\WINDOWS\system32\ntkrnlpa.exe




[XueTr][ShadowSSDT]: 3
序號 函數名稱 當前函數地址 Hook 原始函數地址 當前函數地址所在模塊
[*]312 NtUserBuildHwndList0x894C8F36 ssdt hook0xBF834655 未知模塊




[XueTr][1.exe-->Ring3 Hook]: 6
掛鉤對象 掛鉤位置 鉤子類型 掛鉤處當前值 掛鉤處原始值
[*]len(5) ntdll.dll->DbgBreakPoint 0x7C92120E->_inline C3 C3 8B FF C3CC C3 8B FF CC
[*]len(1) ntdll.dll->DbgUiIssueRemoteBreakin 0x7C972149->_ inlineC3 8B
[*]len(1) ntdll.dll->DbgUiRemoteBreakin 0x7C9720EC->_inline C36A
[*]len(1) ntdll.dll->DbgUserBreakPoint 0x7C921212->_inline C3CC
[*]len(5) kernel32.dll->ExitProcess 0x7C81D20A->0x00431F60[1.exe]inline E9 51 4D C1 838B FF 55 8B EC
[*]len(5) kernel32.dll->LoadLibraryExW 0x7C801AF5->0x00B841B0[1.exe]inline E9 B6 26 38 846A 34 68 F8 E0