过XX保护之 InLine Hook

1--查看系统进程中的线程，发现有属于TeSafe.sys的线程，初步推测为守护线程。
        2--系统回调，具体功能不予说明。


3-- SSDT  发现有3个Inline hook函数


 
 先使用了重载内核，HOOK KiFastCallEntry来解除，后发现重载内核后，没有解除inline hook，由于水平不够，尚且不知道为何，有待提升。所以选择最平常的inline hook来绕过TP的几个inline hook函数。
 1）NtOpenProcess



 修改了0x805CC67A处的call，因为采用绕过，故在call之前，根据根据特征码，做手脚。
2）NtOpenThread，做和NtOpenProcess一样的操作。 为修改时的汇编代码如下：


 

修改后：


 3）NtReadVirtualMemory,NtProtectVirtualMemory,NtWriteVirtualMemory，3个inline hook皆修改了函数开头的7个字节




 

绕过inline hook之后，如下：


 

过了最简单的部分，之后开始过KiAttachProcess，解决OD等无法附加的问题，过双机调试，DeBug port清零问题以及硬件断点等等，要学的还有很多。