完美PerfectProtector绕过方法

那个谁

[bgcolor=#ffffff][/bgcolor]
复制代码

• 原创【天道酬勤】
  
• 发表日期【2012年4月1日】
  
• NtCreateDebugObject inlineHook
  
• NtDebugActiveProcess inlineHook
  
• NtDebugContinue      inlineHook
  
• NtWaitForDebugEvent  inlineHook
  
• NtOpenProcess        ssdt Hook--->7A
  
• NtReadVirtualMemory  ssdt Hook--->BA
  
• NtWriteVirtualMemory ssdt Hook--->115
  
• NtTerminateProcess   ssdt Hook--->101
  
• 
  
• SSDT Hook -->XT恢复后又会被挂回去
  
• Inline Hook --->XT恢复后,游戏会关闭
  
• 
  
• 
  
• SSDT Hook我们采取Inline对抗
  
• 根据Inline位置,我们采取上面几句挂钩方法,或者上一层函数绕过头部挂钩检测
  
• 
  
• 通过写驱动测试得知,不能直接挂在头部,PerfectProtector有重启检测
  
• 
  
• 
  
• 对抗方法如下
  

[bgcolor=#ffffff][/bgcolor]
[bgcolor=#ffffff]Windbg看一下[/bgcolor]
[bgcolor=#ffffff][/bgcolor]
[bgcolor=#ffffff][/bgcolor]
[bgcolor=#ffffff]SSDT HOOK就可以这样对抗[/bgcolor]
[bgcolor=#ffffff][/bgcolor]
[bgcolor=#ffffff]863E89C4h 这个里面肯定是原始函数的入口[/bgcolor]
[bgcolor=#ffffff]如图:[/bgcolor]
[bgcolor=#ffffff][/bgcolor]
[bgcolor=#ffffff]或者[/bgcolor][bgcolor=#ffffff]
[/bgcolor]
[bgcolor=#ffffff][/bgcolor]
[bgcolor=#ffffff]我们计算跳转偏移 目标地址 - 当前地址 -5  (远跳)[/bgcolor]
[bgcolor=#ffffff]                             目标地址 - 当前地址 -2  (偏移字节不超过255的)[/bgcolor]

[bgcolor=#ffffff]怎么挂钩大家都会了，我就不罗嗦了[/bgcolor]

[bgcolor=#ffffff]想要搞死PP，最好的办法是绕过校验函数，PP现在很不友好，重启，蓝屏的惩罚措施比较多，大家要耐住性子[/bgcolor]
[bgcolor=#ffffff]或者自己注册SSDT函数，重写系统函数通道也可以，方法挺多的，自己试试看[/bgcolor]