【跑跑辅助及常见问题索引】（转自猴岛）_justrun吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：65贴子：
【跑跑辅助及常见问题索引】（转自猴岛）
跑跑辅助及常见问题索引 前言&&关于各类辅助，请三思再用，选择用的话得提高意识，做好杀毒防护工作。 推荐2个在线查毒网站，对下载的附件可进行查毒 1、 2、
完全不搭噶的两个地方，...
刚看一吧友这么回复… 我...
好吧,我也不好意思说自...
猴岛版主是。。。可以看图
以前的刷修罗bug，现在...
接下来插播下有卡和没...
【说明】 1.本着造福吧...
C1， 1代 E2，2代。 G3...
吻我要先漱口?
献给想玩游侠又没游侠 ...
我原来也是混猴岛的 之...
60亿影帝带队，让你一路到摸金到手软！
一）隐身方式&&1、隐身挂——即俗称的一键隐身、Negies等等，使用时需过非法。 下载地址请点击：&& （2楼处） 2、金山网镖09版隐身，教程地址：
金山网镖10版隐身，教程地址：
3、windows组策略隐身，教程地址： 4、bwmeter隐身，教程地址： 5、天网隐身，教程地址： 6、卡巴隐身，教程地址： 问题解疑： 1、出现隐身后还是被npc攻击，这可能是网速的关系，可有2种解决方法： 1）使用卡水软件，卡2到3秒即可； 2）当“反挂”用，即你不跑你队友跑；（反挂教程地址） 2、为何隐身了npc还继续发动必杀技——如果你成功隐身的话，就是你的队友吃道具或者在移动。 3、运行“指派”，但IPSEC服务服务不在运行状态——打开“开始”，然后“运行”，然后输入services.msc，然后找一个ipsec开头的服务，右击它，然后点属性，设置为自动启动，并且启动服务，然后就可以了。 另注：使用某些网吧奖励不能隐身，如 flashwind，想实用隐身的话，最简单的办法就是在登陆flashwind的时候，选择驱动模式。如果遇到网络不能加速的情况，那就只能退出驱动模式，并换用 Negies （需要过非法）和 卡巴2010隐身套装，只有这两个隐身才支持普通模式下的flashwind。——
（二）卡水&&目前可用的主流卡水软件如下： 1、玉龙版脸蛋卡水器，特点：点按和长按、无声； 2、收官版脸蛋卡水器，特点：水泡预警、攻击隐身者、查看IP； 3、精灵神话卡水器，特点：点按、无声； 下载地址请点击：&& （1楼和2楼处） 还有攻击静音卡水器、酷爱家族卡水器等。 注：上述卡水器会有某些杀毒软件报毒，请斟酌使用~~~ 问题答疑： 1、杀毒软件提示有可疑进程添加——这是卡水软件正常添加，如要用卡水，请放行，否则不能有卡水效果； 2、提示未找到跑跑卡丁车程序——请先打开跑跑再运行卡水； 3、网卡选择——ADSL本机拨号方式网络选择网卡分支的 \DEVICE\NDISWANIP ，网吧及其他局域网选其他网卡； 4、同时运行两个卡水器不兼容——主要是热键起冲突，将热键设置为不相同的按键即可；
三）N开&&跑跑N开和Applocale教程地址： （注：安装完Applocale后，需点击“开始”——“所有程序”——“Microsoft applocale”——“Applocale”才出现教程中中文部分的安装） 问题答疑： 1、双开白屏了——因为你窗口化跑跑了，安装了Applocale就可以解决； 2、双开不能进入同一间房间——版本是早期的，换跑跑N开就可以了； 3、N开多个账号跑完一场有的就掉线了——电脑硬件配置跟不上，少开一些账号； 4、N开跑跑隐身，被NPC发现，或者小号被踢出房间——N开同时隐身成功的几率很低，只能放弃其 一；
四）过非法和变速器 过非法教程和变速器地址（注：在找线程或句柄的时候会有遗漏，只要点击你选的程序那一栏的题头，就会按相应文件名进行排序） 问题答疑 1、用xuetr时提示有可疑进程添加——这是必要程序，如要过非法，请允许通过，否则不能成功加载； 2、用xuetr时提示有“有一个线程已注入到xuetr中，您是否杀掉他们”——选择否，不然xuetr没效果； 3、过非法后进入跑跑没有反应——必须在登录后按F11小化一次窗口，之后不做特定要求； 4、过非法后使用守望者一会就没效果了——本版提供的守望者是试用版，只有几分钟变速效果，可换其他变速器，如变速精灵、一流变速、葡萄变速等； 5、过非法后使用变速器没有反应——使用变速精灵的“对所有窗口变速”的模式，来回变换几次就可以了； 6、以上方法都试过了，还是不能变速（系统是xp的）——重装一下系统，即可； 7、Win7系统过非法后使用变速器没效果——方法一：以XP SP3兼容模式运行游戏；方法二：换一个xuetr版本（下载地址： 4楼） ~~~以下内容本人没亲身接触过，只能笼统的给个链接，见谅了~~~
（五）网吧奖励&&目前本人所知道的网吧奖励有以下，建议到各官网下载，在这里只是简单介绍一下： 1、4.2网吧奖励
2、flashwind网吧奖励（教程地址：） 3、卡蒂亚网吧奖励 4、跑跑2007网吧奖励 5、祥瑞网吧奖励 6、便宜VPN免费网吧奖励 7、万能免费网吧无限时奖励 问题答疑： 1、网卡奖励用一阵子就掉线了——免费的就是如此，无解； 2、网吧奖励上不去——理由同上，多挤几次； 3、网吧奖励局域网和校园网能用吗——能用，比较卡； 4、运行网吧奖励出现“无法找到指定DLL库文件“SkinH_EL.dll ”中的输出命令“SkinH_Attach_Ex” ——先去下载这个文件 ，然后把这个文件复制到C:\WINDOWS\system32，接着点“开始”，“运行”，输入regsvr32 C:\WINDOWS\system32\SkinH_EL.dll，最后“回车”；
（六）爆旗&&爆旗挂的实质就是变速器配合一个限速软件，可用的辅助：windows组策略、金山网镖、NetPeeker、netlimiter等。 前2个辅助，前面已有链接，后两个百度一下也可以找到，在这就提供一下： NetPeeker 下载地址：
Netlimiter 下载地址：
爆旗教程文字版地址： 爆旗教程视频版地址： 爆旗的长爆教程：
七） 外服（以韩服为主）&&关于韩服的好贴一览表（排名不分先后）： 作者：wxb 1、【韩服跑跑注册】
2、【免费VPN汇总】
3、【韩服客户端下载】
4、【登录器错误释疑】
作者：那伤、冭深 1、 教你上韩服跑跑（代理问题）
2、 HF跑跑更改密码小教程
作者：／、街角。」 1、韩服跑跑卡丁车登陆错误合集
作者：魔力充电娘 1、 HF跑跑最新注册教程
作者：OOOOOOOOO00 1、========用登录器登陆HF提示乱码的问题解决（原创）========
作者：benq12 1、韩服【注册】【下载】【vpn】以及【错误集锦】导航帖
（九）常见跑跑服务器登陆问题&&&1、没有服务器认证——右击“网上邻居”，选中“属性”，右键点击本地连接，选中属性。 选中“internet协议（TCP/IP)”，点“属性”，点击“高级”，选中“WINS”，将“启用LMHOSTS查询”前的对勾去掉（就是没有对勾）； 2、Cannot mount data files. Please reinstall this.——mo1文件夹里有个kartrecovery.exe的文件，先拿那个修复下，不行再重装； 3、Cannot initialize security modules. Please reinstall this.——mo1文件夹里有个kartrecovery.exe的文件，先拿那个修复下，不行再重装； 4、Failure in calling Create Device——重新安装下显卡驱动以及directx ，如果不会弄的话，建议下载个驱动精灵，那个有自动检测并安装驱动的功能；
十）其他辅助&&1、喊话器（即刷屏器），下载地址： 2、挂机工具，下载地址：
国民影帝，摸金而来
影帝加持神还原，等你来战！
最后 我鄙视哪些看帖不回帖的
用F什么的网吧奖励，怎么开挂，帮帮我。
百度小说人气榜
贴吧热议榜
使用签名档&&
保存至快速回贴查看: 991|回复: 16
求大神来帮忙看下关于NtDuplicateObject函数在win7下关闭system进程内的句柄的问题
阅读权限10
在线时间6 小时
当前用户组为 梦之始当前积分为 7, 升到下一级还需要 43 点。
主题精华积分
本帖最后由 ihuem 于
19:36 编辑
小弟写了个驱动,,其中一个函数是用来遍历和关闭system进程里的一个锁定句柄!!代码如下:NTSTATUS AYA_EnumHandleEx(IN ULONG_PTR Pid, IN UNICODE_STRING ustrName)
{
& & & & NTSTATUS status = STATUS_SUCCESS;
& & & & ULONG ulS
& & & & PVOID pSysB
& & & & PSYSTEM_HANDLE_INFORMATION pSysHandleI
& & & & SYSTEM_HANDLE_TABLE_ENTRY_INFO pSysHandleTEI;
& & & & PKOBJECT_NAME_INFORMATION pNameI
& & & & OBJECT_ATTRIBUTES
& & & & HANDLE hProcess = 0;
& & & & HANDLE hHandle = 0;
& & & & HANDLE hDupObj = 0;
//& & & & PEPROCESS& & & &
& & & & CLIENT_ID
& & & & ULONG
& & & & BOOLEAN
& & & & & & & & bIsOpenHandle = FALSE;
& & & & KIRQL& && && &
& & & & & & & & OldI
& & & & ULONG_PTR number = 0;
& & & & ulSize = 0x200;
& & & & do
& & & & {
& & & & & & & & pSysBuffer = ExAllocatePool(PagedPool, ulSize);
& & & & & & & & memset(pSysBuffer, 0, ulSize);
& & & & & & & & status = ZwQuerySystemInformation(SystemHandleInformation, pSysBuffer, ulSize, NULL);
& & & & & & & & if (status == STATUS_INFO_LENGTH_MISMATCH)
& & & & & & & & {
& & & & & & & & & & & & ExFreePool(pSysBuffer);
& & & & & & & & & & & & pSysBuffer = NULL;
& & & & & & & & & & & & ulSize *= 2;
& & & & & & & & }
& & & & } while (status == STATUS_INFO_LENGTH_MISMATCH);
& & & & pSysHandleInfo = (PSYSTEM_HANDLE_INFORMATION)pSysB
& & & & //EnableDebugPriv();
& & & & for (i = 0; i & pSysHandleInfo-&NumberOfH i++)
& & & & {
& & & & & & & & pSysHandleTEI = pSysHandleInfo-&Handles[i];
& & & & & & & & if ((ULONG)pSysHandleTEI.UniqueProcessId != Pid)
& & & & & & & & {
& & & & & & & & & & & &
& & & & & & & & }
& & & & & & & & if (hProcess == 0)
& & & & & & & & {
& & & & & & & & & & & & InitializeObjectAttributes(&oa, NULL, OBJ_KERNEL_HANDLE, NULL, NULL);
& & & & & & & & & & & & cid.UniqueProcess = (HANDLE)pSysHandleTEI.UniqueProcessId;
& & & & & & & & & & & & cid.UniqueThread = 0;//PROCESS_ALL_ACCESS PROCESS_DUP_HANDLE
& & & & & & & & & & & & status = ZwOpenProcess(
& & & & & & & & & & & & & & & & &hProcess,
& & & & & & & & & & & & & & & & PROCESS_ALL_ACCESS,
& & & & & & & & & & & & & & & & &oa,
& & & & & & & & & & & & & & & & &cid);
& & & & & & & & & & & & if (!NT_SUCCESS(status))
& & & & & & & & & & & & {
& & & & & & & & & & & & & & & & KdPrint((&openprocess is fial %x , %08x \n&, hProcess, status));
& & & & & & & & & & & & & & & &
& & & & & & & & & & & & }
& & & & & & & & }
& & & & & & & & status = ZwDuplicateObject(
& & & & & & & & & & & & hProcess,
& & & & & & & & & & & & (HANDLE)pSysHandleTEI.HandleValue,
& & & & & & & & & & & & (HANDLE)-1,
& & & & & & & & & & & & &hDupObj,
& & & & & & & & & & & & PROCESS_DUP_HANDLE,
& & & & & & & & & & & & 0,
& & & & & & & & & & & & DUPLICATE_SAME_ACCESS);
& & & & & & & & if (NT_SUCCESS(status))
& & & & & & & & {
& & & & & & & & & & & & char szType[128] = { 0 };
& & & & & & & & & & & & char& & & & szName[512] = { 0 };
& & & & & & & & & & & & RtlZeroMemory(szType, 128);
& & & & & & & & & & & & RtlZeroMemory(szName, 512);
& & & & & & & & & & & & if (MmIsAddressValid(hDupObj))
& & & & & & & & & & & & {
& & & & & & & & & & & & & & & & KdPrint((&第一次(hDupObj),hDupObj: %x ,*hDupObj: %x\n&, hDupObj, *(PULONG)hDupObj));
& & & & & & & & & & & & }
& & & & & & & & & & & & else
& & & & & & & & & & & & {
& & & & & & & & & & & & & & & & KdPrint((&第一次(hDupObj),hDupObj: %x \t\t HandleValue:%x\n&, hDupObj, pSysHandleTEI.HandleValue));
& & & & & & & & & & & & }
& & & & & & & & & & & & if (NT_SUCCESS(ZwQueryObject(
& & & & & & & & & & & & & & & & hDupObj,
& & & & & & & & & & & & & & & & ObjectNameInformation,
& & & & & & & & & & & & & & & & szName,
& & & & & & & & & & & & & & & & 512,
& & & & & & & & & & & & & & & & NULL)))
& & & & & & & & & & & & {
& & & & & & & & & & & & & & & & pNameInfo = (PKOBJECT_NAME_INFORMATION)szN
& & & & & & & & & & & & & & & & //pTypeInfo = (POBJECT_TYPE_INFORMATION)szT
& & & & & & & & & & & & & & & & if (MmIsAddressValid(pNameInfo-&Name.Buffer))
& & & & & & & & & & & & & & & & {
& & & & & & & & & & & & & & & & & & & &
& & & & & & & & & & & & & & & & & & & & wchar_t *t = wcswcs(pNameInfo-&Name.Buffer, ustrName.Buffer);
& & & & & & & & & & & & & & & & & & & & KdPrint((&Name:%ws\n&,pNameInfo-&Name.Buffer));
& & & & & & & & & & & & & & & & & & & & if (t != NULL)
& & & & & & & & & & & & & & & & & & & & {
& & & & & & & & & & & & & & & & & & & & & & & & ZwClose(hDupObj);
& & & & & & & & & & & & & & & & & & & & & & & & hDupObj = 0;
& & & & & & & & & & & & & & & & & & & & & & & & OldIrql = KeRaiseIrqlToDpcLevel();
& & & & & & & & & & & & & & & & & & & & & & & & status = ZwDuplicateObject(
& & & & & & & & & & & & & & & & & & & & & & & & & & & & hProcess,
& & & & & & & & & & & & & & & & & & & & & & & & & & & & (HANDLE)pSysHandleTEI.HandleValue,
& & & & & & & & & & & & & & & & & & & & & & & & & & & & (HANDLE)-1,
& & & & & & & & & & & & & & & & & & & & & & & & & & & & &hDupObj,
& & & & & & & & & & & & & & & & & & & & & & & & & & & & pSysHandleTEI.HandleAttributes,
& & & & & & & & & & & & & & & & & & & & & & & & & & & & pSysHandleTEI.GrantedAccess,
& & & & & & & & & & & & & & & & & & & & & & & & & & & & DUPLICATE_CLOSE_SOURCE);
& & & & & & & & & & & & & & & & & & & & & & & & if (NT_SUCCESS(status))& &//拷贝句柄并将原句柄关闭
& & & & & & & & & & & & & & & & & & & & & & & & {
& & & & & & & & & & & & & & & & & & & & & & & & & & & & KdPrint((&第二次(hDupObj),hDupObj: %x \t\t HandleValue:%x \t Object:%x \n&, hDupObj, pSysHandleTEI.HandleValue, pSysHandleTEI.Object));
& & & & & & & & & & & & & & & & & & & & & & & & & & & & //在这里输出的拷贝句柄 hDupObj的值和目标句柄 pSysHandleTEI.HandleValue的值不一样,而在XP下这两个值是一样的.,XP就可以把句柄关掉,WIN7就关不掉,
& & & & & & & & & & & & & & & & & & & & & & & & & & & & //有没有什么别的办法能实现
& & & & & & & & & & & & & & & & & & & & & & & & & & & & status = ZwClose(hDupObj);
& & & & & & & & & & & & & & & & & & & & & & & & & & & & if (!NT_SUCCESS(status))
& & & & & & & & & & & & & & & & & & & & & & & & & & & & {
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & KdPrint((&ZwClose(hDupObj) Failed,status: %08X&&\n&, status));
& & & & & & & & & & & & & & & & & & & & & & & & & & & & }
& & & & & & & & & & & & & & & & & & & & & & & & }
& & & & & & & & & & & & & & & & & & & & & & & & else
& & & & & & & & & & & & & & & & & & & & & & & & {
& & & & & & & & & & & & & & & & & & & & & & & & & & & & KdPrint((&ZwDuplicateObject(HandleValue) Failed,status: %x& &GrantedAccess:%08X\n&, status, pSysHandleTEI.GrantedAccess));
& & & & & & & & & & & & & & & & & & & & & & & & }
& & & & & & & & & & & & & & & & & & & & & & & & KeLowerIrql(OldIrql);
& & & & & & & & & & & & & & & & & & & & & & & &
& & & & & & & & & & & & & & & & & & & & }
& & & & & & & & & & & & & & & & }& & & & & & & &
& & & & & & & & & & & & }
& & & & & & & & & & & & else
& & & & & & & & & & & & {
& & & & & & & & & & & & & & & & KdPrint((&Get szName is fial :%08x\n&, status));
& & & & & & & & & & & & }
& & & & & & & & & & & & ZwClose(hDupObj);
& & & & & & & & & & & &
& & & & & & & & }
& & & & & & & & else
& & & & & & & & {
& & & & & & & & & & & & KdPrint((&ZwDuplicateObject is fial %x , %08x \n&, hProcess, status));
& & & & & & & & & & & &
& & & & & & & & }
& & & & & & & & if (hProcess != 0)
& & & & & & & & {
& & & & & & & & & & & & ZwClose(hProcess);
& & & & & & & & & & & & hProcess = 0;
& & & & & & & & }
& & & & & & & & number++;& & & &
& & & & }
& & & & if (hProcess != 0)
& & & & {
& & & & & & & & ZwClose(hProcess);
& & & & & & & & hProcess = 0;
& & & & }
& & & &
& & & & KdPrint((&number:%d \n&, number));
& & & & ExFreePool(pSysBuffer);
& & & & if (!NT_SUCCESS(status))
& & & & {
& & & & & & & & return STATUS_UNSUCCESSFUL;
& & & & }
& & & &
}复制代码
在Xp下可以关闭,但是到win7下就不能关闭了,,大神帮帮忙吧,
阅读权限100
在线时间54 小时
当前用户组为 版主当前积分为 61, 该用户为特殊用户。
主题精华积分
呼叫 梦大。 @mengwuji
阅读权限100
在线时间43 小时
当前用户组为 实习版主当前积分为 39, 该用户为特殊用户。
主题精华积分
都是在讨论R0..我还在R3打拼..怎么办..好难追
萝莉女王控
阅读权限10
在线时间6 小时
当前用户组为 梦之始当前积分为 7, 升到下一级还需要 43 点。
主题精华积分
呼叫 梦大。 @mengwuji
我是想肯定有人也会遇到这个问题...发出来可以分享一下,,梦大如果看到应该也会来帮助下我们这些小菜鸟的嘛,
阅读权限10
在线时间6 小时
当前用户组为 梦之始当前积分为 7, 升到下一级还需要 43 点。
主题精华积分
都是在讨论R0..我还在R3打拼..怎么办..好难追
我R3的也不厉害,,,搞R0主要还是兴趣!1:)
阅读权限200
在线时间3589 小时
当前用户组为 坛主当前积分为 1409, 该用户为特殊用户。
主题精华积分
你把第二次调用ZwDuplicateObject的目标进程句柄设置为1试试。
还有你用wcswcs可能会在某些情况下引发蓝屏。
阅读权限10
在线时间6 小时
当前用户组为 梦之始当前积分为 7, 升到下一级还需要 43 点。
主题精华积分
你把第二次调用ZwDuplicateObject的目标进程句柄设置为1试试。
还有你用wcswcs可能会在某些情况下引发蓝屏 ...
梦大,我刚改了,,改了后直接就失败了,C0000008,目标进程句柄,不就是自己的进程句柄吗!
阅读权限200
在线时间3589 小时
当前用户组为 坛主当前积分为 1409, 该用户为特殊用户。
主题精华积分
梦大,我刚改了,,改了后直接就失败了,C0000008,目标进程句柄,不就是自己的进程句柄吗!
改成1的目的是它就找不到目标进程了，于是在传入DUPLICATE_CLOSE_SOURCE后就直接关闭源进程的句柄了，不会进行duplicate。
你这代码是在内核执行的，可以直接KeStackAttachProcess切到源进程去，然后调用zwclose完事儿。
阅读权限10
在线时间6 小时
当前用户组为 梦之始当前积分为 7, 升到下一级还需要 43 点。
主题精华积分
改成1的目的是它就找不到目标进程了，于是在传入DUPLICATE_CLOSE_SOURCE后就直接关闭源进程的句柄了，不 ...
& & & & & & & & & & & & & & & & & & & & & & & & KAPC_STATE ApcS
& & & & & & & & & & & & & & & & & & & & & & & & ZwClose(hDupObj);
& & & & & & & & & & & & & & & & & & & & & & & & status = PsLookupProcessByProcessId(pSysHandleTEI.UniqueProcessId, &eprocess);
& & & & & & & & & & & & & & & & & & & & & & & & if (NT_SUCCESS(status))
& & & & & & & & & & & & & & & & & & & & & & & & {
& & & & & & & & & & & & & & & & & & & & & & & & & & & & KeStackAttachProcess(eprocess, &ApcState);
& & & & & & & & & & & & & & & & & & & & & & & & & & & & status = ZwClose(pSysHandleTEI.HandleValue);
& & & & & & & & & & & & & & & & & & & & & & & & & & & & KeDetachProcess();
& & & & & & & & & & & & & & & & & & & & & & & & & & & & if (NT_SUCCESS(status))
& & & & & & & & & & & & & & & & & & & & & & & & & & & & {
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & KdPrint((&ZwClose(HandleValue) is OK!!\n&));
& & & & & & & & & & & & & & & & & & & & & & & & & & & & & & & &
& & & & & & & & & & & & & & & & & & & & & & & & & & & & }
& & & & & & & & & & & & & & & & & & & & & & & & }
阅读权限10
在线时间6 小时
当前用户组为 梦之始当前积分为 7, 升到下一级还需要 43 点。
主题精华积分
本帖最后由 ihuem 于
20:00 编辑
改成1的目的是它就找不到目标进程了，于是在传入DUPLICATE_CLOSE_SOURCE后就直接关闭源进程的句柄了，不 ...
& && && && && && && && && && && && && && && && &PEPROCESS
& && && && && && && && && && && && && && && && &KAPC_STATE ApcS
& && && && && && && && && && && && && && && && &ZwClose(hDupObj);
& && && && && && && && && && && && && && && && &status = PsLookupProcessByProcessId(pSysHandleTEI.UniqueProcessId, &eprocess);
& && && && && && && && && && && && && && && && &if (NT_SUCCESS(status))
& && && && && && && && && && && && && && && && &{
& && && && && && && && && && && && && && && && && && &&&KeStackAttachProcess(eprocess, &ApcState);
& && && && && && && && && && && && && && && && && && &&&status = ZwClose(pSysHandleTEI.HandleValue);
& && && && && && && && && && && && && && && && && && &&&KeUnstackDetachProcess(&ApcState);
& && && && && && && && && && && && && && && && && && &&&if (NT_SUCCESS(status))
& && && && && && && && && && && && && && && && && && &&&{
& && && && && && && && && && && && && && && && && && && && && & KdPrint((&ZwClose(HandleValue) is OK!!\n&));
& && && && && && && && && && && && && && && && && && && && && &
& && && && && && && && && && && && && && && && && && &&&}
& && && && && && && && && && && && && && && && && && &&&else
& && && && && && && && && && && && && && && && && && &&&{
& && && && && && && && && && && && && && && && && && && && && & KdPrint((&ZwClose(HandleValue) is fail!!\n&));
& && && && && && && && && && && && && && && && && && &&&}
& && && && && && && && && && && && && && && && & }
是这样attach上去吗?我刚这样加上去,,但还是不行
阅读权限200
在线时间3589 小时
当前用户组为 坛主当前积分为 1409, 该用户为特殊用户。
主题精华积分
& && && && && && && && && && &...
那就要好好调试看看了。
你用一般的工具可以关闭吗？
阅读权限10
在线时间6 小时
当前用户组为 梦之始当前积分为 7, 升到下一级还需要 43 点。
主题精华积分
那就要好好调试看看了。
你用一般的工具可以关闭吗？
用XT可以关闭掉..
阅读权限200
在线时间3589 小时
当前用户组为 坛主当前积分为 1409, 该用户为特殊用户。
主题精华积分
用XT可以关闭掉..
xuetr应该也是调用ntclose或者obclosehandle。
这就要你自己多多调试了
阅读权限10
在线时间6 小时
当前用户组为 梦之始当前积分为 7, 升到下一级还需要 43 点。
主题精华积分
以经搞了几天了,,,,想哭了...代码应该没有问题呀,,,
阅读权限10
在线时间6 小时
当前用户组为 梦之始当前积分为 7, 升到下一级还需要 43 点。
主题精华积分
xuetr应该也是调用ntclose或者obclosehandle。
这就要你自己多多调试了
关闭失败的时候.提示 STATUS_INVALID_HANDLE
为什么这个句柄会无效呢,梦大!!!
阅读权限200
在线时间3589 小时
当前用户组为 坛主当前积分为 1409, 该用户为特殊用户。
主题精华积分
关闭失败的时候.提示 STATUS_INVALID_HANDLE
为什么这个句柄会无效呢,梦大!!!
你那个句柄值应该是8xxxxxxx吧，这个调用的环境好像要是kernelmode才行。
阅读权限10
在线时间6 小时
当前用户组为 梦之始当前积分为 7, 升到下一级还需要 43 点。
主题精华积分
你那个句柄值应该是8xxxxxxx吧，这个调用的环境好像要是kernelmode才行。
拷贝出来的是8XXXXXXX的句柄,,但用这个句柄不能关掉原来的句柄呀,,,
驱动还不是kernelmode吗..
Powered by查看: 8457|回复: 29
爆破 跑跑卡丁车防御系统
（Hack shield）过非法
阅读权限10
大家 在开跑跑外挂的 时候 或者 黑客工具时 ，跑跑 都会弹出这样一个框框。也就是等于“外挂非法了”
MDBD$(1{LM$HFO27@(30Z1K.jpg (14.07 KB, 下载次数: 2)
22:17 上传
然后我们继续使用被封杀的辅助工具跑跑就会卡住不动无法进行游戏。我们“过非法”就是破掉跑跑的防御系统使其无法再阻止我们使用辅助工具去游戏。
& && &下面进入正题，第一步，跑跑（不要登陆）和打开工具xuetr，这时又会出现刚才那个“发现黑客工具，结束程序”的提示，不要管他，在xuetr中找到system进程，右键点击system，选择“查看进程线程”。
T6M093)L7HCFC]{HFT1F768.jpg (147.53 KB, 下载次数: 3)
22:20 上传
在新弹出的窗口中找到2个名为EagleNT.sys的模块，然后分别点击右键并选择“暂停线程运行”。
EJ7Z(V~DIAXX7L95SH96S.jpg (92.01 KB, 下载次数: 0)
22:21 上传
注意是两个同名的模块，且要分别暂停！
第二步，把【system】的进程线程窗口关掉，然后在大窗口中找到KartRider.exe这个进程，右键点击它，同样选择“查看进程线程”。在新弹出的窗口中找到11个名为EhSvc.dll的模块，然后右键点击它们并选择“强制结束线程”。
~EQSOTWY(M$J5I1]FX3M`4M.jpg (100.01 KB, 下载次数: 0)
22:22 上传
注意11个都要结束掉，大家要耐心寻找。
第三步，把【KartRider.exe】的进程线程窗口关掉，然后在大窗口中找到KartRider.exe这个进程，右键点击它，选择“查看进程句柄”，在新弹出的窗口中找到3个句柄名为“\Device\EAGLENT”的句柄，然后右键点击它们并选择“强制关闭句柄”。
%DRVVTCBYF4BRTIO4{KO{GW.jpg (85.46 KB, 下载次数: 0)
22:23 上传
注意是3个，也不可以漏掉，这里句柄很多，需要大家耐心。
至此，“过非法”算是完成了，大家可以把xuetr工具关掉，然后输入跑跑的用户名和密码进入游戏了。
在这时呢，有可能会出现几个问题。
问题一，大家有可能过非法步骤完成了，在登陆游戏时发现那个一开始就谈出的“黑客工具”提示并没有消失，并且没法输入账号密码。解决办法：把提示框拖到一边，不要点击提示框上的“确定”按钮，然后直接输入账号密码，然后鼠标点击“开始”。如果无法输入，请用右键点击下方任务栏中跑跑的图标来激活跑跑登陆界面。
问题二，大家过非法步骤完成后，可以正常输入用户名和密码，但刚进入游戏后把后鼠标点啥都不管用。解决办法：在刚进入游戏时就按f11把屏幕窗口化，如果大家不喜欢小屏幕的可以再切换回来，但必须要切换一次就好。
问题三：在过非法后，把跑跑关闭了，再进跑跑就进不去了，或者系统就卡了。&&解决办法：在关闭跑跑前再次打开xuetr这个工具，然后查看system进程线程，还是找到2个EagleNT.sys，然后分别把他们恢复（在过非法是被暂停了）。除此之外还有一个简单办法：重新启动电脑！
问题四：如果过非法中途做错了或不做了，一定要重启下机器，否则也会造成系统的假死。总之关于过非法后出现的一切不良状况，重启电脑一般都可以解决的。
问题五：过非法的操作是需要用一次做一次的，一旦把跑跑关闭，过非法也就失效了，如果想再开，需要先重启电脑，然后重复上面的步骤。在过非法后，大家开什么软件都不会再有“黑客工具”的提示，以前的外挂像老汉，摇摇等也都不会出现非法提示，但是依旧不可以用，我早就亲自证实过的（我测试过以前所有的外挂，均不可用，在此说明，不想让大家耽误工夫，更不想给发毒发木马的人机会浑水摸鱼！）
如果大家有能力的话还可以开变速齿轮，守望者 之类的具体操作我就不说了。
& && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && && & 呼~好累。。。。
& && && && &&&
(229.9 KB, 下载次数: 65)
22:27 上传
点击文件名下载附件
下载积分: 吾爱币 -1 CB
& &---------------& &大家看贴要回贴& & ，我没有功劳也有苦劳 ，没有苦劳也有疲劳啊----------------
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
嗯哼& &以前猴岛就有这种帖子 N年前的了
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限20
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
支持~虽然好久没玩跑跑了
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
本帖最后由 qubick 于
22:46 编辑
直接在他载入SYS时&&HOOKAPI&&LOADDRIVE&&写入INT3 直接令此驱动爆废
不过最近没试过[s:54] 但是我看你说的那么简单...可以肯定他R3和R0通信还是米加密&&所以他还是AV[s:41] ...
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
这个办法还能用吗?
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
半年前猴岛即有此类。。。
精神可嘉。。。不过过时了。。
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
这个是防御工具吗
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
谢谢分享啊。。。。。。。。
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
阅读权限10
发帖求助前要善用【】功能，那里可能会有你要找的答案；如果你在论坛求助问题，并且已经从坛友或者管理的回复中解决了问题，请把帖子标题加上【已解决】；如何回报帮助你解决问题的坛友，一个好办法就是给对方加【热心】和【CB】，加分不会扣除自己的积分，做一个热心并受欢迎的人！
免责声明：吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，购买注册，得到更好的正版服务。
( 京ICP备号 | 京公网安备 87号 )
Powered by Discuz! X3.2
Comsenz Inc.