-
-
[求助]关于最新的DNF-TP保护
-
发表于: 2015-12-11 21:11
-
大家有没有发现最近都无法读写DNF内存了,就算你绕过了一些API可还是无法读写,经本人简单分析了一下为什么读写内存不成功,因为远程读写内存大家都知道要先把线程切换到目标进程空间里才能够正常读写目标进程的内存,TP正是看准了这一点直接让你无法切换到目标进程空间,这样子不管你是远程创建线程或者读写内存都无法实现,可分析了一下和切换空间的内核函数nt!KiAttachProcess头部有HOOK外,更层一点的HOOK也没有发现在哪里有,不知道TP是怎么做到拒绝切换到目标进程空间的,这个与进程对象有关吗。请各路大牛路过解答一下TP是怎么实现拒绝切换到目标进程空间的
|
|
|---|---|
|
|
|
|
|
 CR3
|
|
|
|
|
|
|
|
|
|
|
|
|
