★立即注册★

QQ登录

就爱江湖-破解软件-技术分享资源网-Www.92Jh.Cn

查看: 6649|回复: 125

[图文教程] (原理)关于LOL最新过TP保护过CE反调试的原理

  [复制链接]
发表于 2019-12-9 18:30:16 | 显示全部楼层
看了论坛的大神发的精品教程,觉得一点用都没有,原理都不敢说的,今天我就来给你们说说原理。。。
(原理)关于LOL最新过TP保护过CE反调试的原理图片ID:5371

1:这个是我们没过检测的,这个时候ce附加会出现调速器无法附加的问题。。

(原理)关于LOL最新过TP保护过CE反调试的原理图片ID:4855
2:打开PCHunter,选应用层钩子,找到游戏进程,选检测,然后等一下,找到0x00000000773F9879(上面图片已经标出来了),这个就就是腾讯下的检测钩子,把这个恢复了就可以ce调试,和注入了。

我们可以用PCHunter自带的恢复功能恢复,也可以自己写一段程序来恢复(以下是我用vs写的一段恢复代码)


        DWORD pid;
        GetWindowThreadProcessId(::FindWindow(NULL, "League of Legends (TM) Client"), &pid);
        HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, NULL, pid);
        PDWORD lpflOldProtect = 0;
        BYTE lpBuffer[] = { 0x8B, 0xFF, 0x55, 0x8B, 0xEC };//导致ce无法附加和注入的hook的地方:0x00000000773F9879->_(E9 E2 90 B6 9A)(8B FF 55 8B EC)
        DWORD lpBaseAddress = 0x773F9879;
        for (int i = 0; i < 5; i++)
        {
                WriteProcessMemory(hProcess, (LPVOID)lpBaseAddress, &lpBuffer, 1, NULL);
                lpBaseAddress++;
        }
就是这么简单。。
软件下载地址:
游客,当前主题有一部分内容已经设置隐藏,需要回复才能查看全部内容。

(原理)关于LOL最新过TP保护过CE反调试的原理图片ID:2038
有兴趣的可以看一下,关于上面说是过驱动保护,我是没看到有。就是一个简单的应用层钩子而已了。

免费评分

参与人数 4江湖币 +5 +4 就爱币 +8 收起 理由
zyh666 + 1 + 1 热心回复!
2209946028 + 1 + 1 大佬能出个CE过BE保护的教程吗
1765441949 + 1 + 1 感谢发布原创作品,就爱江湖论坛因你更精彩.
重现江湖 + 5 + 1 + 5 感谢分享,就爱江湖论坛因你更精彩!

查看全部评分


上一篇:安卓逆向-水蜜桃视频会员破解教程
下一篇:2019年末Java零基础入门到实战视频课程

发帖求助前要善用【论坛搜索】功能,那里可能会有你要找的答案,如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请在帖子回复【已解决】。

发表于 2019-12-10 01:35:05 | 显示全部楼层
子程序_还原钩子 (“ntdll.dll”, “LdrInitializeThunk”, 进程_名取ID (“League of Legends.exe”, ))  ' 注入DLL

.版本 2
.支持库 spec

.子程序 子程序_还原钩子, 逻辑型
.参数 动态链接库名, 文本型
.参数 API函数, 文本型
.参数 pid, 整数型
.局部变量 当前数据, 字节集
.局部变量 原数据, 字节集
.局部变量 函数地址, 整数型

函数地址 = 地址_取API地址 (动态链接库名, API函数)

原数据 = 内存.读字节集 (进程_取自进程ID (), 函数地址, 5)
当前数据 = 内存.读字节集 (pid, 函数地址, 5)

.判断开始 (原数据 ≠ 当前数据 且 原数据 ≠ {  })
    调试输出 (原数据, 字节集_字节集到十六进制 (原数据), 当前数据, 字节集_字节集到十六进制 (当前数据))
    返回 (内存.写字节集 (pid, 函数地址, 原数据))
.默认
    .如果真 (原数据 ≠ {  })
        调试输出 (“API正常”, 字节集_字节集到十六进制 (原数据))
        返回 (真)
    .如果真结束

.判断结束

返回 (假)
回复 支持 2 反对 0

使用道具 举报

发表于 2020-1-28 16:35:24 | 显示全部楼层
    DWORD pid;
        GetWindowThreadProcessId(::FindWindow(NULL, "League of Legends (TM) Client"), &pid);
        HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, NULL, pid);
        PDWORD lpflOldProtect = 0;
        BYTE lpBuffer[] = { 0x8B, 0xFF, 0x55, 0x8B, 0xEC };//导致ce无法附加和注入的hook的地方:0x00000000773F9879->_(E9 E2 90 B6 9A)(8B FF 55 8B EC)
        DWORD lpBaseAddress = 0x773F9879;
        for (int i = 0; i < 5; i++)
        {
                WriteProcessMemory(hProcess, (LPVOID)lpBaseAddress, &lpBuffer, 1, NULL);
                lpBaseAddress++;
        }
回复 支持 反对

使用道具 举报

发表于 2019-12-9 18:45:47 | 显示全部楼层
打开PCHunter,选应用层钩子,找到游戏进程,选检测,然后等一下,找到0x00000000773F9879(上面图片已经标出来了),这个就就是腾讯下的检测钩子,把这个恢复了就可以ce调试,和注入了。
回复 支持 反对

使用道具 举报

发表于 2019-12-9 19:02:13 | 显示全部楼层
这能防封嘛?
回复 支持 反对

使用道具 举报

发表于 2019-12-9 19:36:35 | 显示全部楼层
选应用层钩子,找到游戏进程,选检测,然后等一下,找到0x00000000773F9879(上面图片已经标出来了),这个就就是腾讯下的检测钩子,把这个恢复了就可以ce调试,和注入了。
回复 支持 反对

使用道具 举报

发表于 2019-12-9 19:52:58 | 显示全部楼层
感谢分享,就爱江湖论坛因你更精彩!
回复 支持 反对

使用道具 举报

发表于 2019-12-9 20:52:51 | 显示全部楼层

感谢分享,就爱江湖论坛因你更精彩!
回复 支持 反对

使用道具 举报

发表于 2019-12-9 21:12:42 | 显示全部楼层
学习了啊 感谢爱江湖
回复 支持 反对

使用道具 举报

发表于 2019-12-9 21:22:30 | 显示全部楼层
  GetWindowThreadProcessId(::FindWindow(NULL, "League of Legends (TM) Client"), &pid);
        HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, NULL, pid);
        PDWORD lpflOldProtect = 0;
        BYTE lpBuffer[] = { 0x8B, 0xFF,
回复 支持 反对

使用道具 举报

发表于 2019-12-9 23:35:40 | 显示全部楼层

看了论坛的大神发的精品教程,觉得一点用都没有,原理都不敢说的,今天我就来给你们说说原理。。。
回复 支持 反对

使用道具 举报

发表于 2019-12-10 00:35:39 | 显示全部楼层
大佬能出个CE过BE保护的教程
回复 支持 反对

使用道具 举报

游客
回复
您需要登录后才可以回帖 登录 | ★立即注册★

免责声明
就爱江湖所发布的一切软件逆向解密分析文章及视频、破解补丁、注册机和注册信息,仅限用于学习和研究目的。不得将上述内容用于商业或者非法途径!否则,一切后果请用户自负!
本站信息来自互联网,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请购买注册正版软件,获得正版优质服务!
如有侵权请邮件与我们联系处理。

E-Mail To:2710763@QQ.COM

手机版|小黑屋| 就爱江湖资源分享网 ( 蜀ICP备20006088号 )

GMT+8, 2020-4-3 06:18

Powered by Discuz!

© 2001-2020 Comsenz Inc.

快速回复 返回顶部 返回列表