PP保护3:HideFromDebugger

最新推荐文章于 2025-04-18 00:16:30 发布
原创 最新推荐文章于 2025-04-18 00:16:30 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#函数 #游戏

PP保护也会设置游戏线程的HideFromDebugger,不过它不是调用ZwSetInformationThread来设置,是用驱动遍历了游戏线程,直接线程的ETHREAD.
遍历线程的时候,它用到了PsLookupThreadByThreadId这个函数,所以我们要hook住这个函数,如果确定了当前是PP保护在调用这个函数,那么就把得到的线程对象的hidefromdebugger位去掉,切返回一个假线程体给它,代码是这样的:
这里写图片描述

RK3568笔记三十:PP-ORCv3自训练部署
06-07 1911
PP-OCR是百度公布并开源的OCR领域算法,一个轻量级的OCR系统,在实现前沿算法的基础上,考虑精度与速度的平衡, 进行模型瘦身和深度优化,使其尽可能满足产业落地需求。PP-OCR是一个两阶段的OCR系统,其中文本检测算法选用DB,文本识别算法选用CRNN,并在检测和识别模块之间添加文本方向分类器,以应对不同方向的文本识别。
HideFromDebugger
09-14
通过NtSetInformationThread来隐藏调试器,使程序无法调试
SteamLoader-绕过Steam ThreadHideFromDebugger-C/C++开发
05-27
一个简单的绕过Steam的ThreadHideFromDebugger反调试技术的方法。 SteamLoader-绕过Steam ThreadHideFromDebugger一种简单的绕过Steam的ThreadHideFromDebugger反调试技术的方法,该技术不允许在遇到断点时将执行流转移到调试器。 这种技术存在于(旧的?)Steam游戏中,例如Orcs Must Die 2,FEAR 3,DeusEx,Brinck,Fall out系列,Duke Nukem。 一旦达到断点,游戏就会退出。 我在Guided Hacking论坛上对此做了完整的解释。 Visual Studio解决方案包含两个
网络靶场实战-反调试技术(下)
蛇矛实验室
04-14 1299
通过检测自身父进程来判定是否被调试,原理非常简单,我们的系统在运行程序的时候,绝大多数应用程序都是由explorer.exe这个父进程派生而来的子进程,也就是说如果没有被调试其得到的父进程就是explorer.exe的进程PID,而如果被调试则该进程的父进程PID就会变成调试器的PID值,通过对父进程的检测即可实现检测是否被调试的功能。需要注意的是,虽然使用 ThreadHideFromDebugger 可以增加程序的安全性,但它并不是绝对的安全措施,因为仍然存在其他方法可以绕过或检测到线程隐藏。
调试器攻击技术 - ThreadHideFromDebugger
zhangmiaoping23的专栏
08-07 5012
3、 ThreadHideFromDebugger 这项技术用到了常常被用来设置线程优先级的API ntdll!NtSetInformationThread(),不过这个API也能够用来防止调试事件被发往调试器。 NtSetInformationThread()的参数列表如下。要实现这一功能,ThreadHideFromDebugger(0x11)被当作ThreadInformationCla
INT3断点无效,都是ThreadHideFromDebugger惹的祸
LLC
02-27 3411
INT3断点无效,都是ThreadHideFromDebugger惹的祸 http://hi.baidu.com/cppcoffee/item/7380d9bf792c44e04ec7fd26 【原创】SSDT HOOK bypass 某游戏 and Themida ThreadHideFromDebugger http://bbs.pediy.com/showthread.
PP-LiteSeg: A Superior Real-Time Semantic Segmentation Model-2022.4.6
dear_queen的博客
05-02 5412
最近看到了这个PP-LiteSeg,虽然没有用过paddle但是一直想尝试下,看到这个网络结构看起来不错的亚子,先浅看下叭。 论文地址 代码地址 哈哈哈,这篇论文出自4.6,我还挺紧跟时事呢 pp-liteseg的代码段 pp-liteseg摘要1.introduction2.related work2.1 semantic segmentation2.2 real-time semantic segmentation2.3 feature fusion module3.proposed method3.1
PP-PicoDet: A Better Real-Time Object Detector on Mobile Devices
qq_52302919的博客
02-12 2991
提供了一个新的轻量级的物体探测器,它在移动设备的物体检测方面具有优越的性能。PP-PicoDet-S模型是第一个mAP(0.5:0.95)超过30,同时在ARM CPU上保持1M参数和100+ FPS。 此外,PP-PicoDet-L模型的mAP(0.5:0.95)仅在3.3M参数下就超过40。
【论文笔记】PP-YOLOE: An evolved version of YOLO
no_pain_no_gain_的博客
04-03 6883
PP-YOLOE简介改进1.针对泛化性1)可变卷积(deformable convolution)2)Matrix NMS2. Anchor-free 简介 2022.3.24,百度飞浆推出PP-YOLOE,作为22年的第一个YOLO改进版,官方号称测试性能(在MS COCO上)全面领先YOLOX。 尤其是速度方面,在-s模型上达到208FPS,相较于YOLOX-s的119FPS,几乎翻倍! 而在性能上,以PP-YOLOE-x为例,在MS COCO上的mAP达到52.2%,毫无疑问是目前综合性能最好的yol
PP越狱助手:一键轻松实现苹果手机完美越狱
3. PP越狱助手支持iOS 3.1至iOS 5.1.1版本的越狱,意味着它能够为这些版本的操作系统提供越狱解决方案。未来还将支持iOS 6.0版本的完美越狱,这意味着随着iOS版本的更新,PP越狱助手会不断更新以满足新系统版本的...
反调试技术(以OD为例附核心原代码)
06-05
反调试技术(以OD为例附核心原代码),word文档,实例简单易懂,里面包括7个短实例,
推荐:自动隐藏调试器的Xcode插件 —— AutoHideDebugger
gitblog_00090的博客
05-18 475
推荐:自动隐藏调试器的Xcode插件 —— AutoHideDebugger 1、项目介绍 AutoHideDebugger 是一款已废弃但仍然有价值的Xcode插件,它在Xcode 8之前的版本中为程序员提供了一项实用的功能:当你在源代码编辑器中开始输入时,它会自动隐藏调试器,以释放更多的屏幕空间,帮助你专注于编写和阅读代码。 2、项目技术分析 这款插件巧妙地利用了Xcode的插件系统,实时监控...
用Ddvp调试PP保护的疑问
陈刚编程心得与知识集
01-11 768
小弟刚学驱动不久,用JoenChen大侠的ddvp驱动测试了TP和HS,都能轻易PASS保护,可是一开PP保护就重启,后来就发现是开了VT后就会导致PP重启电脑,想问下PP是怎样检测VT的。
反调试技术(一)--静态反调试
weixin_30871293的博客
03-13 319
为了保护自己的程序不被破译等,很多软件使用了反调试技术来阻止逆向程序员对自己程序进行爆破,这同时也催生了另一种技术--反调试破解技术的出现。反调试技术分为静态反调试技术和动态反调试技术。相比来说静态反调试技术更容易实现,破解一般也只需要一次,我们这次就先谈一下静态反调试技术,以及对应的破解之道。 1.PEB结构中有几个重要的成员标示了进程是否处于被调试状态。(以下以32位为例) +0x0...
anti-debug你必须知道的基础篇 All in one
jentle8的博客
10-24 1332
这将是一个进阶的系列,当全部完成的时候笔者会弄成一个git手册供自己以及有需要的人查看。在实际对抗中,可能有些别样的代码的Anti结构似曾相识,或许是一个结构体,或许是一段赋值,但是在找这些结构体的时候经常需要东查西查,所以,here we go~~
脱壳的艺术--5 调试器攻击技术
FISH 的专栏
01-19 1554
 脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁用
反调试技术总结(看雪)
eli的博客
12-07 3991
大概是在一年半以前我在自己优快云博客上写了详解反虚拟机技术和详解反调试技术,没想到看的人还很多,有人甚至给我发私信发邮件,在百度和谷歌搜索“反调试”和“反虚拟机”,第一条结果就是我的文章。我决定在看雪也分享一下。当然我只是做了个整理收集的工作,没有一条技术和一行代码是我原创的,参考链接会附在最后。 反调试技术,恶意代码用它识别是否被调试,或者让调试器失效。恶意代码编写者意识到分析人员经常使用调试器来观察恶意代码的操作,因此他们使用反调试技术尽可能地延长恶意代码的分析时间。为了阻止调试器的分析..
逆向入门-反调试
AppWhite_Star的博客
07-30 2679
逆向基础-反调试专题
【第47节】windows程序的其他反调试手段下篇
最新发布
攻城狮7号的博客
04-18 1275
要动态绑定(运行时)线程特定数据,可以通过 `TLS API`(像 `TlsAlloc`、`TlsGetValue`、`TlsSetValue` 和 `TlsFree` 这些)来实现。完成这样的设置后,`OllyDbg` 会在执行 `TLS` 回调的 `ntdll!其中,`Dr0 - Dr3` 最多能存储 4 个断点的地址,`Dr6` 是一个标志位,它的作用是表明哪个断点被触发了,`Dr7` 里包含了控制这 4 个硬件断点的标志,比如可以启用、禁用断点,或者让断点在进行读/写操作时中断。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值