请选择 进入手机版 | 继续访问电脑版
设为首页收藏本站

梦织未来

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 21310|回复: 610

[原创] 浅谈Win10 x64下过TP保护,可恶的硬断占坑,以CF为例

  [复制链接]

升级   46%

4

主题

2

精华

23

积分
发表于 2015-8-12 19:11:55 | 显示全部楼层 |阅读模式
本帖最后由 a710819554 于 2015-8-12 19:20 编辑

还记得我上一篇么,就是Win7 x64下过TP的教程。
关于Win7 x64下过TP保护(应用层):
http://www.mengwuji.net/forum.php?mod=viewthread&tid=2209&page=1&extra=#pid48317

这次我来给大家浅谈下Win10 x64下过TP的方法。
如果大家想要Win7 x64下的过CF的保护,直接看上面链接上的文章就可以了,因为目前保护并未出现较大变化。
Win10发布之后我立马就装下了,等了那么久终于等到了一个ARK工具。这里非常感谢紫水晶论坛的Tesla.Angela。
于是我想给大家在说说在Win10下的过保护方法,如果有说得不妥的地方请指出。

教程作者:小宝(a710819554)
有问题联系QQ

那么你需要准备以下东东:
调试对象:穿越火锅
调试工具:Windbg、WIN64AST BETA5、Ollydbg
调试环境:Win10 Pro x64
调试备注:我一直以为八月初TP应该会更新在Win10 下的保护,发现并没有。方法也和我的上一篇文章大同小异.所以我就简单的说下,我会把写好的工具分享给大家。

先发两张测试的图。
这是OD的软件断点,断下位置<send函数> 图片神秘地出现了BUG
3.png
硬件断点
4.png


内核层(新的保护?!):
游客,如果您要查看本帖隐藏内容请回复



应用层:
游客,如果您要查看本帖隐藏内容请回复

附赠工具,反TP应用层保护 CF用
游客,如果您要查看本帖隐藏内容请回复


May I just sleepwalking.
回复

使用道具 举报

升级   46%

4

主题

2

精华

23

积分
 楼主| 发表于 2015-8-12 19:13:02 | 显示全部楼层
沙发自己坐啦~
May I just sleepwalking.
回复 支持 反对

使用道具 举报

升级   100%

39

主题

4

精华

129

积分
发表于 2015-8-12 19:24:55 | 显示全部楼层
支持楼主。。虽然我即用不起win10也用不起x64,不过代码我还是默默收下了先。
回复 支持 反对

使用道具 举报

升级   0%

5

主题

0

精华

50

积分
发表于 2015-8-12 19:52:37 | 显示全部楼层
你是什么都肯放啊!

点评

楼楼这话是什么意思? 一会开精华一会又解除?  发表于 2015-8-12 20:10
回复 支持 反对

使用道具 举报

升级   28%

0

主题

0

精华

14

积分
发表于 2015-8-12 19:59:00 | 显示全部楼层
叼炸天,上次那篇收益不少,
回复 支持 反对

使用道具 举报

升级   21.33%

0

主题

0

精华

82

积分
发表于 2015-8-12 20:10:45 | 显示全部楼层
好,严重支持啊
回复 支持 反对

使用道具 举报

升级   0%

5

主题

0

精华

50

积分
发表于 2015-8-12 20:12:05 | 显示全部楼层
kz丶cn 发表于 2015-8-12 19:52
你是什么都肯放啊!

没,放放挺好的!谢啦,精华可能是系统问题,我这只是开了精华,但显示解除了,
回复 支持 反对

使用道具 举报

升级   100%

72

主题

0

精华

61

积分
发表于 2015-8-12 20:13:21 | 显示全部楼层
多谢楼主分享,支持原创。 :D
回复 支持 反对

使用道具 举报

升级   100%

15

主题

3

精华

108

积分
发表于 2015-8-12 20:22:44 | 显示全部楼层
支持楼主。。:lol
回复 支持 反对

使用道具 举报

升级   60%

2

主题

0

精华

30

积分
发表于 2015-8-12 20:23:47 | 显示全部楼层
支持楼主。。
回复 支持 反对

使用道具 举报

升级   38%

1

主题

0

精华

19

积分
发表于 2015-8-12 20:25:59 | 显示全部楼层
这还需要回复..
回复 支持 反对

使用道具 举报

升级   100%

8

主题

0

精华

60

积分
发表于 2015-8-12 20:34:42 来自手机 | 显示全部楼层
谢谢楼主。
回复 支持 反对

使用道具 举报

升级   100%

217

主题

64

精华

1447

积分
发表于 2015-8-12 20:35:06 | 显示全部楼层
谢谢楼主分享!

那个tenvbox.sys不过是拿newbluepill改了改用而已。
开启od开不到进程是因为od用openprocess之后会调用enumprocessmodules函数枚举进程模块,这个函数实际就是遍历对方peb里面的ldr实现枚举,tenvbox把进程内存隐藏了(这个技术比较棒),所以导致od傲娇了。
tenvbox开发还有些不稳定,所以开发者用了两种模式,一种开启vt一种没开启vt,并且集成了过pg的功能。期待后期tx做的更稳定~~
还有那个硬断占坑也不一定就要用set thread context,自己弄个异常在seh、vch或者veh中就设置好了。
回复 支持 反对

使用道具 举报

升级   46%

4

主题

2

精华

23

积分
 楼主| 发表于 2015-8-12 20:37:18 | 显示全部楼层
mengwuji 发表于 2015-8-12 20:35
谢谢楼主分享!

那个tenvbox.sys不过是拿newbluepill改了改用而已。

明白了,终于TP还是要开始挑战PG和VT技术了呀。
May I just sleepwalking.
回复 支持 反对

使用道具 举报

升级   100%

217

主题

64

精华

1447

积分
发表于 2015-8-12 20:39:16 | 显示全部楼层
a710819554 发表于 2015-8-12 20:37
明白了,终于TP还是要开始挑战PG和VT技术了呀。

恩,直接去微软告它,想办法让微软吊销它数字签名;P
回复 支持 反对

使用道具 举报

升级   0%

0

主题

0

精华

50

积分
发表于 2015-8-12 20:49:11 | 显示全部楼层
看看。。。。
该会员没有填写今日想说内容.
回复 支持 反对

使用道具 举报

升级   60%

5

主题

0

精华

140

积分
发表于 2015-8-12 21:16:14 | 显示全部楼层
呵呵  好东西啊 收下了
回复 支持 反对

使用道具 举报

升级   49.33%

28

主题

3

精华

124

积分
发表于 2015-8-12 21:38:18 | 显示全部楼层
这个绝对值得一看
回复 支持 反对

使用道具 举报

升级   90.67%

1

主题

0

精华

186

积分
发表于 2015-8-12 22:32:27 | 显示全部楼层
多谢楼主分享
该会员没有填写今日想说内容.
回复 支持 反对

使用道具 举报

升级   59.33%

0

主题

0

精华

139

积分
发表于 2015-8-12 23:16:01 | 显示全部楼层
看一下,学习学习
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|Archiver|mengwuji ( 粤ICP备13060035号-1 )  

GMT+8, 2017-5-27 16:06 , Processed in 0.309364 second(s), 29 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表