魔域手动过驱动防护无需重启
1 Reply , Posted in 游戏辅助 on 2017 07, 2017
首先介绍我们今天所使用的软件 PC Hunter
PC Hunter 功能简介
PC Hunter是一款方便易用的手工杀毒工具。该软件其实有着功能齐全的windows系统信息查看内容,不但可以查看各类系统的信息,也支持找到电脑中存在的病毒木马,让你的系统得到最佳保护。
PC
Hunter 功能特点:
1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能
2.内核驱动模块查看,支持内核驱动模块的内存拷贝
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt
hook和inline hook
4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等近20多种Notify
Routine信息查看,并支持对这些Notify Routine的删除
5.端口信息查看,目前不支持2000系统
6.查看消息钩子
7.内核模块的iat、eat、inline hook、patches检测和恢复
8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除
9.注册表编辑
10.进程iat、eat、inline hook、patches检测和恢复
11.文件系统查看,支持基本的文件操作
12.查看(编辑)IE插件、SPI、启动项、服务、Hosts文件、映像劫持、文件关联、系统防火墙规则、IME
13.ObjectType Hook检测和恢复
14.DPC定时器检测和删除
15.MBR Rootkit检测和修复
16.内核对象劫持检测
下面开始实例分析:
魔域在启动的时候,都会运行其自带的天晴安全防御(加载Tqhooks.sys驱动保证其游戏程序不被第三方程序查看修改)。通过软件查询发现DLL及模块是全部看不见得,使用OD,CE等工具均无法附加; 但我们可以通过一个手动弑毒软件[PcHunter]来将其保护驱动给禁用掉,来达到扰过防御的效果!
未过驱动前,使用OD附加效果如下图所示:
下面我们开始介绍使用方法:
1.首先我们运行游戏后,打开PChunter在其进程中查看System所有进程线程,
2.在进程选项卡,右键System,查看进程线程,这时候发现其它列表有212个进程线程,我们把模块按首字母排序,我们从上往下查找TQHOOK.SYS模块(天晴HOOK的缩写)。我们右键它,把它给暂停,为什么不强制结束呢,因为这是在系统进程中调用的,强制结束电脑将瞬间蓝屏哦!
3.下面我们打开CE发现依然无法附加,那我们继续向下查找TQHOOK.SYS内核钩子状态是否有挂起,
打开选项卡”内核钩子”→子选项卡中“内核钩子”与旁边的“Objiect钩子”子选项卡分别将其它恢复
下面,我们继续打开CE附加测试是不是可以了呢.
使用工具:PC Hunter
官网地址:http://www.epoolsoft.com/
软件下载:官网下载
免责声明:本文仅供技术探讨交流,请勿用于非法用途,产生一切后果自行负责!
