1、头文件源码,把涉及到的进程权限的常量值都添加进去#define PROCESS_TERMINATE (0x0001)
//进程权限
#define PROCESS_CREATE_THREAD (0x0002)
#define PROCESS_SET_SESSIONID (0x0004)
#defi
原创
2023-03-28 10:54:20
4089阅读
上节已经安装好了python和selenium模块,当然了,自动化运行需要在对应的浏览器及需要对应的浏览器驱动才可以,现在跟我一起来看看吧1、浏览器 浏览器多种多样,我们一般会选择Chrome/Firefox/IE等其中一种,在这里,博主推荐使用老版本的浏览器,因为新版本有很多不能和它对应的驱动版本对上,会在后期代码运行过程中带来很多不必要的麻烦。 Firefox老版本下载地址:http://
引言: 发现快一个月没有写文章了,从写ttc文章以来,一直有一个想法就是把外挂揭秘系列的更新完成。延续到现在半年过去了。一直专注于做其他的一些事情没有针对这个系列做更新。前几天做了一次早读课技术分享,其实早读课的一些内容也是从研究外挂里面提取出来的。当时讲的不够细致,刚好借着这个机会写一篇文章回顾下知识点。之前一直是想把封包和驱动保护放在两个章节一块讲了,这次可以合到一起。1.驱动保护原理 说
转载
2024-07-26 07:24:55
340阅读
一、设计界面1、添加一个编辑框输入要保护的进程PID,并添加两个按钮,一个保护进程,一个解除保护2、右击编辑框,添加变量二、驱动层代码实现1、声明一个受保护的进程PID数组static UINT32 受保护的进程PID[256] = { 0 };2、添加PID到保护函数void 添加PID到保护(UINT32 pid)
{
for (size_t i = 0; i < 256; i++
原创
2023-04-08 23:29:00
3425阅读
一、新建一个过保护头文件和源文件1、源文件内容#include <ntifs.h>
#include "过保护.h"
BOOLEAN KReadProcessMemory(IN PEPROCESS 目标进程, IN PVOID 目标地址, IN UINT32 目标长度, IN OUT PVOID 返回数据)
{
KAPC_STATE apc_state;
RtlZeroM
原创
2023-04-17 10:21:34
2992阅读
TP 是国内腾讯游戏一款比较流行的驱动级保护程序. 负责保护腾讯每款游戏不被修改破坏, 也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会 例如OD与CE无法进行如以下操作: 无法附加进程, 无法打开进程, 游戏进程被隐藏无法在工具中查看到, 内存无法读取代码&nb
转载
精选
2013-09-04 18:41:00
1512阅读
ddd
原创
2021-09-06 10:54:55
117阅读
一、没有驱动保护下1、CE读写数据2、Debug调试二、添加禁止操作代码获取权限 &= ~PROCESS_VM_OPERATION;
获取权限 &= ~PROCESS_VM_WRITE;
获取权限 &= ~PROCESS_VM_READ;三、编译驱动,并加载,重新CE和Debug打开1、CE都说不到数据2、Debug也查不到内存数据
原创
2023-03-31 11:25:27
4833阅读
一、创建回调函数,卸载驱动的时候会执行里面的操作void 卸载驱动回调函数(PDRIVER_OBJECT 驱动对象){ KdPrint(("nxyn:我被卸载了,驱动编号=%p", 驱动对象));}二、在主函数中调用该函数extern "C" NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT 驱动对象, _In_ PUNICODE_STRING psg){
原创
2023-03-13 11:52:43
1314阅读
Java开发驱动Java 驱动提供了数据库操作和集群操作的接口。主要包括数据库、集合空间、集合、游标、副本组、节点、域和大对象级别的操作。Java类实例Java 驱动的有两种类实例。一种用于数据库操作,另一种用于集群操作。数据库操作实例SequoiaDB 巨杉数据库中的数据存放分为三个级别:数据库集合空间集合在数据库操作中,可用三个类来分别表示连接、集合空间和集合实例,一个类表示游标实例,一个类表
转载
2023-08-16 22:15:34
28阅读
一、驱动层写数据源码1、具体功能实现BOOLEAN KWriteProcessMemory(IN PEPROCESS 目标进程, IN PVOID 被写入地址, IN UINT32 写入长度, IN PVOID 待写入数据)
{
KAPC_STATE apc_state;
RtlZeroMemory(&apc_state, sizeof(KAPC_STATE));
//创建
原创
2023-04-19 12:01:53
4714阅读
一、新建一个cpp文件驱动管理1、通过OpenSCManager获取管理器句柄管理器句柄 = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);第一个参数,指向计算机名称,此处为NULL表示指向本机第二个参数,SCM数据库名称,此用为NULL表示使用默认第三个参数,使用权限,一般设置为SC_MANAGER_ALL_ACCESS表示所有使用权2、通过C
原创
2023-03-24 09:52:59
4412阅读
一、卸载驱动源代码BOOL UnloadDriver(const char* 驱动名称)
{
BOOL 返回值 = FALSE;
SC_HANDLE 管理器句柄 = NULL;
SC_HANDLE 驱动服务句柄 = NULL;
SERVICE_STATUS 服务状态;
char 缓存[256] = { 0 };
管理器句柄 = OpenSCManager(NULL, NU
原创
2023-03-26 10:41:15
4108阅读
1 图片的位置C:\Users\boluo1125\AppData\Roaming\khealtheye\wallpaper2 当图片有文字时点击右上角的设为壁纸时保持的位置C:\Users\boluo1125\AppData\Roaming\khealtheye\cache ...
原创
2021-08-18 11:18:45
369阅读
https://www.sohu.com/a/330434291_560178
原创
2021-09-06 10:55:02
148阅读
当驱动发现打开的进程句柄是我们要保护的进程时,就去掉访问权限,使任何人都无法访问
原创
2022-12-14 18:31:36
1312阅读
INLINE HOOK过简单驱动保护的理论知识和大概思路、、 这里的简单驱动保护就是 简单的 HOOK 掉内核API的现象、、、找到被HOOK的函数的当前地址在此地址处先修改页面保护属性然后写入5个字节、5个字节就是一个简单的JMP指令、这里说一下JMP、如下、、001 JMP 002 这样我们就会跳到001 (在此地址写入JMP指令)+ 002(我们要写
原创
2011-08-09 22:44:00
635阅读
1、自写驱动保护XX进程(HOOK SSDT) A、构建自己的内核函数(用来替换对应的内核函数) C、Hook和UnHook函数构建 D、修改EXE和SYS对应源代码实现所谓保护 E、测试效果 【135】以28课的代码为例 新建一个hook.h单元 【200】实际上选用 第29/30课 的代码也是可以的 【380】hook.h 里面的代码:“
#pragma once
#
转载
2023-09-08 09:57:40
208阅读
一、在驱动入口函数里注册IRP处理函数//注册派遣函数,可以用相同的IRP函数处理,也可以单独处理 驱动对象->MajorFunction[IRP_MJ_CREATE] = IRP处理函数;//相当于应用层CreatFile()操作 驱动对象->MajorFunction[IRP_MJ_CLOSE] = IRP处理函数;//相当于应用层CloseHandle()操作 驱动对象-&
原创
2023-03-17 14:50:56
2846阅读
一、在MFC中添加控制码,告诉驱动我们要进行的操作#include <winioctl.h>#define 写测试 CTL_CODE(FILE_DEVICE_UNKNOWN, 0x801, METHOD_BUFFERED,FILE_ANY_ACCESS) #define 读测试 CTL_CODE(FILE_DEVICE_UNKNOWN, 0x802, MET
原创
2023-03-20 14:45:07
2852阅读
