研究TP的一点问题
已经hook了NtOpenProcess 和 NtWriteProcessMemory 和 NtReadProcessMemory ,打开有TP保护的QQ堂可以正常读写内存,但是直接打开DNF只能打开进程,不能读写内存。如果先打开QQ堂等他的TP起作用,再打开DNF可以读内存,但无法写,我用pchunter试着
把内核钩子全部恢复也没办法写。这到底是为什么???
有大神提供一点思路吗,是不是应用层钩子的问题?? C盘下 C:\Program Files (x86)\Tencent\TGuard 把这个神奇的文件夹权限禁止就OK了 然后再打开任务管理器的服务里找到TGuardSvc把它停止 重起电脑即可!:eee{:301_998:} 1毛钱雪糕 发表于 2020-1-28 20:24
C盘下 C:\Program Files (x86)\Tencent\TGuard 把这个神奇的文件夹权限禁止就OK了 然后再打开任务管理器的 ...
膜拜大牛{:301_998:} 1毛钱雪糕 发表于 2020-1-28 20:24
C盘下 C:\Program Files (x86)\Tencent\TGuard 把这个神奇的文件夹权限禁止就OK了 然后再打开任务管理器的 ...
我想研究windows内核上的保护。。我有全系统读写的工具,但是没啥意思 b917893200 发表于 2020-1-29 08:51
我想研究windows内核上的保护。。我有全系统读写的工具,但是没啥意思
关键是这个阻止你操作鸭句柄会被清零让你读写不了 除非你得写个保护 不然 只要 是第三方的都会GG 1毛钱雪糕 发表于 2020-1-29 19:23
关键是这个阻止你操作鸭句柄会被清零让你读写不了 除非你得写个保护 不然 只要 是第三方的都会GG
好像有点道理,我忽略了DNF启动的时候别的一大堆exe和sys
页:
[1]