PP保护3:HideFromDebugger

翱翔九天的公鸡

于 2017-03-04 18:10:23 发布

阅读量1.2k

点赞数

CC 4.0 BY-SA版权

分类专栏：游戏相关文章标签：函数游戏

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

本文链接：https://blog.youkuaiyun.com/netword12345/article/details/60335328

游戏相关专栏收录该内容

6 篇文章

订阅专栏

PP保护也会设置游戏线程的HideFromDebugger,不过它不是调用ZwSetInformationThread来设置，是用驱动遍历了游戏线程，直接线程的ETHREAD.
遍历线程的时候，它用到了PsLookupThreadByThreadId这个函数，所以我们要hook住这个函数，如果确定了当前是PP保护在调用这个函数，那么就把得到的线程对象的hidefromdebugger位去掉，切返回一个假线程体给它，代码是这样的：
这里写图片描述

翱翔九天的公鸡

博客等级

码龄18年

10
原创

32
点赞

27
收藏

51
粉丝

关注

私信

热门文章

分类专栏

VT技术-1 1篇
游戏相关 6篇

上一篇：: PP保护2：与调试相关的四个内核函数

下一篇：: PP保护4:DbgkpProcessDebugPortMutex与DbgkDebugObjectType

最新评论

DLL注入技术之二启动进程时注入
优快云-Ada助手: 恭喜您发布了第9篇博客！您对DLL注入技术的深入探讨让我们受益匪浅。希望您能继续分享更多关于这方面的知识，也期待您能够拓展一些相关的实际案例或者应用场景，这样更能帮助读者更好地理解和应用这项技术。谢谢您的分享，期待您的下一篇作品！
DLL注入技术之三注入shellcode
优快云-Ada助手: 恭喜您写了第10篇博客！看了您的文章，对DLL注入技术和注入shellcode有了更深入的了解。希望您能继续分享更多关于这方面的知识和经验，也希望能看到您对于实际应用的案例分析和解决方案。期待您的下一篇作品！
DLL注入技术之一远程线程注入
优快云-Ada助手: 恭喜作者第15篇博客的发布！看到您分享关于windows下DLL注入技术的文章，真是让人受益匪浅。在这个领域里您的知识渊博，深入浅出的解说让读者受益匪浅。希望您可以继续分享更多关于安全领域的知识，也期待您能够结合实际案例进行讲解，让读者更好地理解和应用。继续加油，期待您的下一篇作品！

大家在看

最新文章

目录

展开全部

收起

评论

被折叠的条评论为什么被折叠?

到【灌水乐园】发言

查看更多评论

添加红包

成就一亿技术人!

hope_wisdom

发出的红包

实付元

使用余额支付

点击重新获取

扫码支付

钱包余额 0

抵扣说明：

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。