2017-5-7
17:20

root
root

[游戏辅助]魔域手动过驱动防护无需重启

首先介绍我们今天所使用的软件 PC Hunter

PC Hunter 功能简介

PC Hunter是一款方便易用的手工杀毒工具。该软件其实有着功能齐全的windows系统信息查看内容,不但可以查看各类系统的信息,也支持找到电脑中存在的病毒木马,让你的系统得到最佳保护。

    PC Hunter 功能特点:
  1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能
  2.内核驱动模块查看,支持内核驱动模块的内存拷贝
  3.SSDTShadow SSDTFSDKBDTCPIPNsiproxyTdxClasspnpAtapiAcpiSCSIIDTGDT信息查看,并能检测和恢复ssdt hookinline hook
  4.CreateProcessCreateThreadLoadImageCmpCallbackBugCheckCallbackShutdownLego等近20多种Notify Routine信息查看,并支持对这些Notify Routine的删除
  5.端口信息查看,目前不支持2000系统
  6.查看消息钩子
  7.内核模块的iateatinline hookpatches检测和恢复
  8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
  9.注册表编辑
  10.进程iateatinline hookpatches检测和恢复
  11.文件系统查看,支持基本的文件操作
  12.查看(编辑)IE插件、SPI、启动项、服务、Hosts文件、映像劫持、文件关联、系统防火墙规则、IME
  13.ObjectType Hook检测和恢复
  14.DPC定时器检测和删除
  15.MBR Rootkit检测和修复
  16.内核对象劫持检测


下面开始实例分析

  魔域在启动的时候,都会运行其自带的天晴安全防御(加载Tqhooks.sys驱动保证其游戏程序不被第三方程序查看修改)。通过软件查询发现DLL及模块是全部看不见得,使用OD,CE等工具均无法附加; 但我们可以通过一个手动弑毒软件[PcHunter]来将其保护驱动给禁用掉,来达到扰过防御的效果!


   未过驱动前,使用OD附加效果如下图所示:


下面我们开始介绍使用方法:

1.首先我们运行游戏后,打开PChunter在其进程中查看System所有进程线程,


2.在进程选项卡,右键System,查看进程线程,这时候发现其它列表有212个进程线程,我们把模块按首字母排序,我们从上往下查找TQHOOK.SYS模块(天晴HOOK的缩写)。我们右键它,把它给暂停,为什么不强制结束呢,因为这是在系统进程中调用的,强制结束电脑将瞬间蓝屏哦!



3.下面我们打开CE发现依然无法附加,那我们继续向下查找TQHOOK.SYS内核钩子状态是否有挂起,

打开选项卡内核钩子→子选项卡中“内核钩子”与旁边的“Objiect钩子”子选项卡分别将其它恢复




下面,我们继续打开CE附加测试是不是可以了呢.



 使用工具:PC Hunter

 官网地址:http://www.epoolsoft.com/

 软件下载:官网下载

CE6.6 下载:中文版本地下载

免责声明:本文仅供技术探讨交流,请勿用于非法用途,产生一切后果自行负责!

文章如需转载请注明:转载自: 紫灵幽梦
« 上一篇 下一篇 »
2017-5-7
17:20


root

root的评论:

有任何建议请于下方留言,欢迎各路大神指点!

发表留言: