|
|
内核层:3个内核线程用于不停的恢复THREAD PROCESS-CALLBACK 直接1字节anti会开启不了驱动 这里比以前的TP好点儿
CALLBACK里面抹去了句柄的读写内存权限 导致OD看不见进程 CE搜不了内存
反附加 三个驱动里面改了线程暂停位的反附加线程 导致OD附加 游戏直接消失 还有僵尸进程 这里和XG3有些像
什么调试权限 dbgport检测 啥的就不说了 没意义
应用层: 常规的 int3函数钩子 和一堆没啥作用的反附加线程
总结 如果加上枚举句柄表会好一点儿
以上 分析均在 WIN7X64 SP1 纯洁系统得出的 |
|
发表于 2016-5-9 13:27:14
发表于 2016-5-20 16:41:38