废话少说,在这里聊聊新tp 与旧tp 的区别
在结构上区别很大,旧版本是直接通过服务接口加载,而新版本是先通过服务接口加载一个母驱动,然后再将经过加密的驱动代码从ring3下载到ring0.
细节方面:
1.母驱动有代码校验功能,双机调试时,任何断点都会导致99999999错误,这个校验函数很容易就能找到。
2.会在好几个地方检测 KdEnteredDebugger 变量,如果发现KdEnteredDebugger不为0,就会进入99999999错误
到此,新版本和旧版本再双机调试方面就没有其他区别了
3..母驱动会开辟数个线程,那些调用子驱动函数的线程不能够被屏蔽,否则会被堵塞。
4.函数调用流程
I
5.清0了 DbgkDebugObjectType 对象的68 6c 70 74 78 (权限)处
6. 个人感觉新版本用的壳对代码的混淆难度要高于旧版本
罗嗦一下:
新版本的技术含量要比旧版本高不少,最大的改进在于把 真正的核心代码隐藏起来了,要达到这个目的必须自己实现代码的重定向(对于高手来说可能比较容易,呵呵,反正我不会)。