初级玩家
- 贡献度
- 0
- 金元
- 668
- 积分
- 67
- 精华
- 0
- 注册时间
- 2009-2-3
|
贴吧不知道是否收了钱 帖子没有删除不过搜索不出来 显示-1回复不知道咋回事
没怎么 研究米忽悠的保护 点击了几个函数 发现趣的东西
典型的回调保护 如果不是自己保护 的进程就判断进程名是否是csrss.exe 进程名
把权限过滤 这样就达到反附加反调试 的目地 没研究过米忽悠是否有VT保护 CRC等
看保护 还是得看腾讯
__int64 __fastcall sub_1400050D0(__int64 a1, __int64 a2)
{
__int64 v2; // rbx
__int64 v3; // rax
PVOID v4; // rdi
_DWORD *v5; // rcx
PEPROCESS v6; // rax
const char *v7; // rax
PVOID Object; // [rsp+38h] [rbp+10h]
v2 = a2;
if ( *(_QWORD *)(a2 + 16) == PsThreadType && !(*(_DWORD *)(a2 + 4) & 1) && dword_14000A688 && *(_DWORD *)a2 == 1 )
{
v3 = IoThreadToProcess(*(_QWORD *)(a2 + 8));
Object = 0i64;
v4 = (PVOID)v3;
if ( (signed int)PsLookupProcessByProcessId((unsigned int)dword_14000A688, &Object) >= 0 )
ObfDereferenceObject(Object);
if ( Object && v4 == Object )
{
v5 = *(_DWORD **)(v2 + 32);
if ( v5[1] & 1 )
{
*v5 &= 0xFFFFFFFE;
v5 = *(_DWORD **)(v2 + 32);
}
if ( v5[1] & 2 )
{
v6 = IoGetCurrentProcess();
if ( Object != v6 )
{
v7 = (const char *)PsGetProcessImageFileName(v6);
if ( strcmp(v7, "csrss.exe") )
**(_DWORD **)(v2 + 32) &= 0xFFFFFFFD;
}
}
}
}
return 0i64;
}
|
评分
-
1
查看全部评分
-
|
发表于 2020-9-29 08:40
收藏