[讨论]最新TP的清零两处不知怎么解决??

斩月hg 2013-6-3 21:46 5972
对最新TesSafe.sys的debugport清零:

1处清零

2处清零;
以上两处已解决同时有监控也已解决。


现在还有这两处一处PUSH一处POP,看论坛里中继函数试了很多次,还是没过去,
大牛能否指点一二,同时说说思路,不胜感激
上传的附件:
最新回复 (13)
Tebox 2013-6-3 22:09
2
还在学习驱动基础中..标记一下.以后研究TP参考参考
Captains 2013-6-3 22:36
3
遍历线程,停了它
然后再hook
诶一 2013-6-3 22:42
4
移位即可解决
最爱小铅 2013-6-4 08:30
5
有些不理解,pop清零还可以理解,push怎么能清零呢?
斩月hg 2013-6-4 20:53
6
看些资料说push压入一个值,这个值与debugport偏移比较的
斩月hg 2013-6-4 21:18
7
偏移写入其它的?
赵建新 2013-6-5 12:17
8
TP,清0
最爱小铅 2013-6-5 19:03
9
这么说是push入栈一个0,与debugport比较,这算是debugport检测的地方,不是置零吧?
zhuzhuak 2013-6-6 15:26
10
其中一处的PUSH也不能象你这么HOOK,我今天也刚试了,还在研究中,跟楼主一样全力找资料
斩月hg 2013-6-10 21:40
11
嗯 但是不知道此处怎么搞定
汀雨如炎 2013-6-12 23:40
12
不知楼主找到方法了吗?对此我也没找到好的方法
谢中堂 2013-6-18 10:19
13
最新的有2处哇?dnf的咋只有 pop [edx] 那一处呢?
神大蛇 2017-8-11 10:44
14
我也研究清零  能加我吗  QQ1841370452    一起研究
返回