本文介绍了解决PP保护中断1与中断3的方法,通过修改代码实现跳转以绕过重启问题,并调整了进程结构体的DebugPort值来规避检测。此外,还介绍了如何处理ntdll.dll模块相关函数以支持OD挂载。
PP保护会处理中断1与中断3,试了一早上恢复中断表,结果都是重启,于是改成跳转,在PP保护的中断上写个jmp,跳到系统的中断处理上,就可以了.
先要找对代码的检测,在这个位置,找到它NOP掉就行了:
然后写跳转:
PP保护还对进程结构体的DebugPort做了检测,如果发现不为零,也重启,我找到了它存放EPROCESS->DebugPort的偏移,把这个值改成EPROCESS->ExitTime就行了,EPROCESS->ExitTime的值肯定会等于零的.
再处理一下游戏里ntdll.dll模块与调试相关的函数,就能挂上OD了:
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
