过DNF TP 驱动保护2.docVIP

06、 干掉 NtReadVirtualMemory 中的 InLine Hook： 前面已经干掉了 TP 对 NtOpenProcess 以及 TP 对 NtOpenThread 所做的 Hook，这样的话，我们已经可以使用 OD 或者 CE 看到 DNF 的游戏进程了，弄过一些游戏方面内容的朋友应该都是知道 CE 的，这东是开源的，不过是基于 Delphi 的，工具做得很不错，可以通过 CE 来修改一些游戏进程的内存数据，比如可以修改一些简单的游戏的血值啊之类的，但是，此时我们可以用 CE 来扫描一下 DNF 游戏进程的内存，你会发现根本扫描不到任何数据，其实原因也很简单，TP 对 NtReadVirtualMemory 进行了浅层的 InLine Hook，从而可以达到防止其他进程读取 DNF 游戏进程内存的目的，而 CE 的话，在 Ring3 下是通过 ReadProcessMemory 来读取游戏内存的，而 ReadProcessMemory 进入 Ring0 后又是调用的 NtReadVirtualMemory，由于 NtReadVirtualMemory 被 TP 干掉了，所以自然用 CE 是扫描不出任何东西的，要干掉 TP 对 NtReadVirtualMemory 所作的浅层 InLine Hook 其实是比较简单的，因为TP 并没有对 NtReadVirtual