下断点游戏出错，等待高手指点！

fyl-vip

OD附加成功了，但一下断点，游戏就退出了。这是因为od下软件断点，是写入一个0xcc的指令，也就是int3,但是游戏线程在启动时，调用过ZwSetInformationThread，使用了其中0x11号的功能，这个函数的作用可以使调试器接收不到这个线程的调试信息，因为调试器接收不到，游戏就自己处理了这个中断，当然会出错。解决办法就是提前hook住内核函数ZwSetInformatonThread,如果发现有调用这个函数的，并且是0x11功能的，直接给他返回成功就行了。

上面是某位大牛说的， 我复制过来的。  我想问下 怎么HOOK住内核函数ZwSetInformatonThread， 又怎么看 是谁在调用他并使用0X11功能。 还有怎么直接给他返回？ 高手指点一二谢谢！~

nb的土豆

如果是zw打头的，要写驱动ssdt hook
ZwSetInformationThread (
    __in HANDLE ThreadHandle,
    __in THREADINFOCLASS ThreadInformationClass,
    __in_bcount(ThreadInformationLength) PVOID ThreadInformation,
    __in ULONG ThreadInformationLength
    );

其中第二个参数 __in THREADINFOCLASS中ThreadInformationClass的定义有很多，有一条是ThreadHideFromDebugger。即$11，作用就是隐藏线程，让调试器接收不到信息

假设我想让自己的程序反调试，那么应该这样写：
ZwSetInformationThread(GetCurrentThread, ThreadHideFromDebugger, nil, 0);

而你需要做的就是ssdt hook ZwSetinfomationThread
注：要在游戏启动之前hook
跟平常hook是一样的 区别就是一个是r3层 一个是r0层
具体代码由于所用语言环境不同就不写了，大概意思是:
function myZwSetInformationThread..............................:NTSTATUS;stdcall;
var
  fanhui:NTSTATUS;
begin
  fanhui:=myZwSetInformationThread..............................:;
  if ThreadInformationClass=$11(或者ThreadHideFromDebugger也可以)  then
  begin
    fanhui:=STATUS_SUCCESS;
  end;
  result:=fanhui;
end;

ps：如果觉得以上方法较复杂，也可以尝试用od打开游戏，在启动的时候暂停，跳到ZwSetInformationThread，然后看第二个参数是$11的话，在自己修改处理也可。