顶上去顶上去

我也是新手，帮你顶一下。

百度搜索 “反游戏保护”  第一页点进去，就有了。

游戏保护间的斗争这么激烈！！！

我的方法比较简单，在修改重启的地方下读写断点
然后就会断下来检测地址，有一个可以直接跳到尾部，另外一个VM代码用HOOK来，好像还有一处不过忘了，论坛有一些关于清零的教程你可以查查
看雪搜索 debugport 清零就有很多了，蛮详细的

我刚学，有些比较隐晦，看不太懂，有些就是针对2012年的，TP已经做了更改

把校验函数干掉不就行了

这种技术具体怎么实现

找到了两个清零的，一个监控的。第三个是VM内部的，同时肩负了清零和监控的重任。但是不知道怎么绕过去，请指点。

A兄又来做广告了，哈哈。

清零推荐是向上回溯找清零call，就是call xxxxxxxx，我记得是3个call挤在一起，你回溯时向上找的第一个就是了，直接把那1个call nop掉，好处:不会检测到，我记得有两处可以这样处理好像，不过应该是至少有3处的，还有一处是pop清零，pop完之后是一个jmp(pop [edx]还是pop [ebx]的你自己视情况而定，)方法是HOOK它，直接破坏掉整个pop jmp，改写成jmp 自己的函数(记得先保存它原始jmp地址)，函数内容就是检测ebx的值是否为debugport地址，是的话，就add esp,4，然后跳去你保存的那个原始jmp地址吧，如果判断不是debugport地址，就直接pop[edx] jmp(不一定是edx哈)     还有监控就是push [EDX] jmp这样的吧，同样和上面的清零一样，不过这次如果判断是目标地址就不是add esp了，而是push 0(为什么要push 0？因为如果debugport正常的时候就是0，所以我们push 0等于在欺骗它，说debugport很正常，其实一点都不正常=￥=，监控就是这样啦

有些地方有校验的 把校验的地方PASS了
或让port 移位

为什么都看不了啊 我也注册了还提示我不能看~

a总，求教。我提取了a盾的重载内核代码，如果我在ring0是里调用ntOpenProcess,ntReadVirtaulMemory和ntWirteMemory这些函数，在里面调到什么方法又跑到旧内核去，比如像memcpy这种函数。

我感觉有小心都会跑到旧内核去,比如：
a()
{
b()
}

b会调到c,有可能会跑到旧内核吗

自己WINDBG u一下重载后的A函数和原始内核的A函数对比就知道了。