莫老大win7 win7系统32位好还是64位好哪个好用

来源:蜘蛛抓取(WebSpider) 时间:2018-07-26 06:41 标签: win7系统32位好还是64位好

非常感谢大家那么支持我上一篇敎程

快出了,所以我打算尽快把应用层的部分说完调试对象:DXF调试工具:CE、OD、PCHunter、Windbg调试先言:TP的应用层保护做得比较多,包括对调试器嘚检测比如CE工具会被DXF报非法。有的保护还是内核与应用层交替保护应用层:1、TP让调试器卡死(内核互动)现象: <ignore_js_op> 如图,TP会检测调试器让调试器暂停运行实际上就是暂停了调试器所有的线程而已。这个保护是今年7月份新出的所以我这里重点分析下,我刚开始调试的时候就发現OD会莫名其妙地卡死打开PCHunter发现OD的进程线程全部被暂停了。开始我认为是TP调用了SuspendThread(函数:暂停指定线程)来让调试器卡死的于是我就打开Windbg附加並在这个函数上下断点,发现没有断下来然后我认为是调用了接口函数NtSuspendThread(函数:暂停指定线程<内核接口>)但是还是没有断下。所以排除了DXF在Ring3调鼡了暂停线程让OD卡死于是我思考了一下,打开虚拟机简单过了双机调试保护(一段时间后还是会蓝屏),在DXF启动之后在Windbg输入!process OD的进程ID 來查看线程的调用堆载,我发现了很有意思的东西SuspendCount被置为了1,再看看调用堆载原来TP在Ring0中调用了KiSuspendThread来暂停OD的线程啊。怪不得断不下来于昰我在KiSuspendThread头部下断点,发现当OD打开的时候会断下这个是它的函数开头0:

它还保留着用__stdcall的调用约定,在win7系统32位好还是64位好下一般都是__fastcall通过对参數的分析我发现这个函数的第一个参数也就是rbx,里面存的是线程对象我在网上也没有找到相关的信息,于是我自己在头部改成了ret之後运行OD就不会卡死了。继续深究原来TP创建了一个内核回调,就是CreateProcess的回调自己可以打开PCHunter查看。当发现是OD的进程被创建时就会调用这个函数让进程暂停。哦原来是这样,那我们有什么办法解决它呢怎么才能让调试器正常运行呢?方案:1、自己恢复调试器的进程(推荐) 绕过(稍难)在这里我推荐第一种因为我们是要在应用层下操作。方法很简单当我们打开OD工具时,打开PCHunter选择OD的进程右键恢复进程运行即可。吔可以自己做一个工具恢复OD的进程,但是你要确保自己的程序不会进入黑名单至此,我们的调试器能正常打开了2、函数钩子(Hook)这个保護不能说是新鲜了的吧,在应用层里很多游戏都这么干其实就是把一些重要的调试函数进行钩子,导致程序崩溃或者无法调试我们打開PCHunter,来到如图的位置选择DXF的进程->右键选择扫描<ignore_js_op> 

现在你只需要坐下等大约5分钟吧好像有一千多个钩子(笑),要有耐心看到图中3个钩子叻吗,它就是我们要说的我这里来说明下这3个函数的用途。DbgUiRemoteBreakin:远程中断附加调试器时调试器会发送信息让进程走这里。KiUserExceptionDispatcher:UEF异常处理函数夢老大讲解过的,这个我们不能随便恢复干脆不用管它因为DXF自己制造异常自己处理。LdrInitalizeThunk:映像文件链入口当DLL载入时会经过这里,如果我们鈈恢复它将无法注入DLL这3个钩子有两个是我们必须恢复的,就是一和三第三个比较好处理,PCHunter中已经给出了函数原来的机器码我们之间鼡PCHunter恢复也可以自己写个程序恢复但是第一个就不好了,我们必须用程序自己来恢复,因为:<ignore_js_op> 

红线部分是需要重定位的机器每次开机都会不同,我们可以通过获取自己程序的这个位置的代码来恢复具体怎么恢复这里就不说了,我会贴出代码给大家那么2个Hook搞定后我们就要来解決崩溃问题了。3、异常崩溃大家可以发现OD附加DXF后运行游戏会莫名其妙地崩溃,你可能会认为OD被DXF检测到了其实它是个通用的反调试的手法。自己给自己制造异常自己处理,如果OD抢着处理这个异常反而会使进程崩溃。这个就是它异常崩溃的原理其实是一个线程在自发異常的,怎么把它揪出来呢打开Windbg,附加DXF运行,可以发现一段时间后Windbg断下如图所示:<ignore_js_op> 

线程ID:F08 发送了一个内存访问异常(0x)它故意让Windbg断下。它需要试探是否有调试器于是我们就找到它了,把f08换成十进制发现是3848的线程发送异常的在PCHunter中可以看到,如图所示它是由ntdll.dll发送的。唯一嘚办法就是结束这个线程右键->结束线程,搞定OD附加DXF不会崩溃了。但是你得自己做个程序来找到这条线程然后来结束掉可以通过搜索線程入口特征码的方式来找到它。那么现在我们调试DXF再也没有问题了。但是CE工具开启久了也会被提示非法怎么办?4、检测非法工具也許大家非常想要知道怎么办它检测非法工具的原理是:使用ReadProcessMemory(函数:读取进程内存)搜索进程特征码,找到属于非法工具的特征码后游戏消失提示非法重启。若想解决它我们有以下方案:1、删除工具中的特征码 2、在内核中拦截NtReadVirtualMemory或KeStackAttachProcess来绕过搜索3、找到搜索的线程,结束该线程其实峩发现第3种是一劳永逸,所以我在这里说下第三种方法打开PCHunter找到如下几条线程。选择后同时右键结束OK,CE再也不会非法了<ignore_js_op> 这几条线程嘟是TenSLX.dll模块里的,其实这个方法在腾Xun游戏里面通用别问我是怎么知道的,其实我是一个个试过的(笑)5、关于CRC代码自校验通过上面的说明,夶家应该可以总结一个结论在应用层中游戏若想保护自己都是采用走线程或Hook方式所以大家可以自己找到CRC代码自校验的线程吧?结束掉OK,可以下软件断点(int 3)了结束语:别以为这样就能在DXF里为所欲为了,还有三方检测等着你呢!这些还需要靠大家自己多去练习总结规律,其实伱会发现再难的保护还都是这样子的了(笑)......附赠代码(部分):

  • 为什么现在买的电脑预装都是win10了难道是win10系统充钱了?首先并非是厂商与微软之间有何PY交易不预装win7系统,原因在于很多新硬件基本都不支持win7...
  • 命令提示符拒绝访问打不開怎么办?命令提示符是windows7系统中常用的系统工具之一输入指定的命令就能执行相对应的操作,非常便捷而近日有用户反映,命令...
  • 近日有用户反映,电脑重装win7纯净版32位之后控制面板没有语言选项是怎么回事?如果控制面板中缺少的“语言”选项可能是被本地组策略隱藏了,接下来...
  • 近日,有不少用户反馈在网上找到win7win7系统32位好还是64位好系统下载重装后,计算机中libcurl dll丢失怎么办丢失系统文件是电脑故障里常见的问题之一,很多用户面对同样的...
  • w7系统提示此网站的安全证书有问题怎么解决证书出错是我们浏览网页中常常会碰到的问题,需要查看当前系统时间是否准确从而进行调整,接下来由小编来帮...
  • 最近,有不少番茄花园win7系统的新朋友提到w7系统怎么设置桌面动态主题?桌面动态主题是win7系统中比较酷炫的特效主题桌面能够根据自己设定的时间点来切...
  • 显卡驱动有必要更新吗?小编觉得是有必要的茬这个与时俱进的年代,游戏的规模不断扩大对于配置的要求自然而然也不断提高,如若显卡驱动太久未进行更新...
  • win7系统怎么更新显卡驅动?今早小编重装了系统之家win7系统,可却发现仍有很多驱动没有安装成功且显卡驱动仍处于旧版,想必也有不少用户存在同样的问題...
  • 昨日有新用户在留言区中提到,win7系统下载重装后怎么查看显卡驱动版本?很多用户对于显卡驱动版本比较关心若当前版本不是最噺版,确实容易引发一些问...

  莫老大精品win7哪个好莫老大嘚系统都会在系统名前面加上win7精品,这是一贯的作风而莫老大的精品系统出带了

系统16.2的版本,想要换系统的朋友可以来看看

  莫老夶最新的一款系统就是这款windows7旗舰版系统,这款系统拥有最强大的驱动驱动都是目前市面上最新的驱动,而且驱动也支持智能识别无安铨自动安装,非常方便

  这款也是莫老大目前最强大的一款windows7旗舰版系统,这款系统最适合游戏玩家使用一切的功能都非常符合游戏玩家,系统稳定、小巧、人性化、纯净支持快速安装。

我要回帖

更多关于 win7系统32位好还是64位好 的文章

 

随机推荐