本文介绍了一种针对PP保护下inlinehook的破解方法,通过查找并利用被hook函数原始字节码的位置来实现。文章详细解释了如何通过SSDT来跳过PP保护,并给出了具体的实现代码。
看过《软件调试》一书的人都知道这几个内函数的重要性,它们是:NtCreateDebugObject,NtDebugActiveProcess,NtDebugContinue,NtWaitForDebugEvent
这几个函数被PP保护给inline hook,对付的办法是用SSDT对抗,直接跳过函数开头的jmp.
这里有个取巧的办法就是,PP保护inline hook了这四个函数,肯定在它的内存的某个地方,存有这几个函数开头几个字节的代码,直接搜索到它,利用一下。这个地址相对于中断1的偏移是0xbb90:
为什么要取中断1的地址,是因为这个保护的地址是随机的,所以要找一个方便的地址,定位偏移就行了。
我们的代码这样写,就跳过它的HOOK了:
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
