PP保护1:读写进程内存

3/8/2017来源:ASP.NET技巧人气:2320

与众多保护一样,PP保护也是禁止游戏进程被打开的,像OpenPRocess与Read/WriteProcessMemory内核的函数也是处理过的. 这里写图片描述 这几个函数是ssdt hook. 用windbg打开NtOpenProcess的hook,可以看到: 这里写图片描述 PP会判断第二个参数与0x30做或运算,如果等于0的话,直接就跳走了.所以我们的解决办法是,inline NtOpenProcess,对这个标志位进行修改: 这里写图片描述 这样就能正常打开游戏进程了. 对像读写进程这两个内核函数,处理办法是hook住内核函数:ZwQueryInformationProcess 这里写图片描述 这样就能正常读写游戏进程了 这里写图片描述