过游戏保护之 过TX驱动保护TesSafe.sys方法(现在可以用)3

最新绕过TX驱动保护TesSafe.sys方法(现在可以用)3

过游戏 保护 之TS篇
********************************************************************************************

***************
就这么多了,或许有人说,没必要那么复杂,直接恢复NtOpenProcess不就行了吗?对于象“冰刃”

“Rookit Unhooker”这些“善良”之辈的话是没问题的,但是象NP这些“穷凶极恶”之流的话,它会不

断检测NtOpenProcess是不是已经被写回去,是的话,嘿嘿,机器马上重启。这也是这种方法的一点点妙

用。
    现在我们把思路总结一下,首先在游戏启动前先把NtOpenProcess整个函数的代码保存下来,再SSDT

Hook,把地址指向我的函数。但是发现TX的驱动还有个保护机制 ,每隔一段时间检测系统是否有调用

NtOpenProcess函数。
    解决方法可以在驱动里面做个函数,函数里面先调用被驱动修改的NtOpenProcess,丢弃返回值后再

调用提前定义的代码,最后返回这次的句柄就可以了。其他函数也类似这种恢复方法,网上好象有类似的

代码,大家可以找一下。
#include
typedef struct _SERVICE_DESCRIPTOR_TABLE
{
PVOID ServiceTableBase;
PULONG ServiceCounterTableBase;
ULONG NumberOfService;
ULONG ParamTableBase;
}SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE; //由于KeServiceDescriptorTable只有一项

,这里就简单点了
extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;//KeServiceDescriptorTable为导出函

/////////////////////////////////////
VOID Hook();
VOID Unhook();
VOID OnUnload(IN PDRIVER_OBJECT DriverObject);
//////////////////////////////////////
ULONG JmpAddress;//跳转到NtOpenProcess里的地址
ULONG OldServiceAddress;//原来NtOpenProcess的服务地址

查看全文请上 郁金香外挂教学网:http://bbs.yjxsoft.net/?u=1039

你可能感兴趣的:(过游戏保护之 过TX驱动保护TesSafe.sys方法(现在可以用)3)