转载 过QQ飞车软断保护教程加源码
教程主要是软断,使用工具PCHunter64进行应用层恢复钩子。
挂钩对象是:ntdll.dll
DbgUiRemoteBreakin 还原:6A 08 68 30 BB 49 77
KiUserExceptionDispatcher还原:FC 8B 4C 24 04
LdrLoadDll还原:8B FF 55 8B EC
这里就写出工具方式
需要利用两个函数即可
GetModuleHandle获取一个应用程序或动态链接库的模块句柄
GetProcAddress 函数检索指定的动态链接库(DLL)中的输出库函数地址。
函数原型:
FARPROC GetProcAddress(
HMODULE hModule, // DLL模块句柄
LPCSTR lpProcName // 函数名
);
易语言例子:
函数地址 = GetProcAddress (GetModuleHandleA (“ntdll.dll”), “DbgUiRemoteBreakin”)
函数地址 = GetProcAddress (GetModuleHandleA (“ntdll.dll”), “KiUserExceptionDispatcher”)
函数地址 = GetProcAddress (GetModuleHandleA (“ntdll.dll”), “LdrLoadDll”)
写内存字节集 (取进程ID (“GameApp.exe”), 函数地址 , 还原字节集2 (“6A 08 68 30 BB 49 77”))
写内存字节集 (取进程ID (“GameApp.exe”), 函数地址 , 还原字节集2 (“FC 8B 4C 24 04”))
写内存字节集 (取进程ID (“GameApp.exe”), 函数地址 , 还原字节集2 (“8B FF 55 8B EC”))
QQ飞车软断保护教程加源码
感谢分享,感谢分享
页:
[1]