研究TP的一点问题

b917893200

已经hook了NtOpenProcess 和 NtWriteProcessMemory 和 NtReadProcessMemory ，打开有TP保护的QQ堂可以正常读写内存，
但是直接打开DNF只能打开进程，不能读写内存。如果先打开QQ堂等他的TP起作用，再打开DNF可以读内存，但无法写，我用pchunter试着
把内核钩子全部恢复也没办法写。这到底是为什么？？？

有大神提供一点思路吗，是不是应用层钩子的问题？？

1毛钱雪糕

C盘下 C:\Program Files (x86)\Tencent\TGuard 把这个神奇的文件夹权限禁止就OK了 然后再打开任务管理器的服务里找到TGuardSvc把它停止 重起电脑即可！

Mir丶翰林

1毛钱雪糕 发表于 2020-1-28 20:24
C盘下 C:\Program Files (x86)\Tencent\TGuard 把这个神奇的文件夹权限禁止就OK了 然后再打开任务管理器的 ...

膜拜大牛

b917893200

1毛钱雪糕 发表于 2020-1-28 20:24
C盘下 C:\Program Files (x86)\Tencent\TGuard 把这个神奇的文件夹权限禁止就OK了 然后再打开任务管理器的 ...

我想研究windows内核上的保护。。我有全系统读写的工具，但是没啥意思

1毛钱雪糕

b917893200 发表于 2020-1-29 08:51
我想研究windows内核上的保护。。我有全系统读写的工具，但是没啥意思

关键是这个阻止你操作鸭  句柄会被清零让你读写不了 除非你得写个保护 不然 只要 是第三方的  都会GG

b917893200

1毛钱雪糕 发表于 2020-1-29 19:23
关键是这个阻止你操作鸭  句柄会被清零让你读写不了 除非你得写个保护 不然 只要 是第三方的  都会GG

好像有点道理，我忽略了DNF启动的时候别的一大堆exe和sys