刘冠华 发表于 2024-3-11 13:22:11

解决DNF附加进程不会重启,但会检测出异常,分享下经验。


DNF进程保护不是SSDT HOOK了NtOpenProcess
而是在NtOpenProcess里面,call ObOpenObjectByPointer那里
把ObOpenObjectByPointer的入口地址改成了TP保护的地址,达到过滤的目的
咱不动他改的地址(改了会重启),直接在call ObOpenObjectByPointer之前jmp跳转到自己的地址
然后执行覆盖代码,再call ObOpenObjectByPointer
最后跳到call ObOpenObjectByPointer后面继续执行,OK!
CE能够附加了!

TP还会对那里进行检测,代码是否被更改
就在那10多秒钟左右的时间之内,迅速附加进程
然后再恢复代码,就不会报异常了

还要绕过NtReadVirtualMemory和NtWriteVirtualMemory才可以读取到代码

页: [1]
查看完整版本: 解决DNF附加进程不会重启,但会检测出异常,分享下经验。