lol加载的保护不让od附加驱动sys

下面我简单看说下以上关键的几个APIHOOK：

1.KiAttachProcess 函数

2.NtReadVirtualMemory

内存函数

3.NtWriteVirtualMemory 内存函数 7

4.NtOpenThread 线程函数

5.NtOpenProcess 进程函数

那么前3个函数是可以直接SSDT恢复的，第4个函数是有监视，如果直接恢复的毁肆则话电脑会即刻重启.（TP蛮变态）

，第5个函数和ring3有驱动雹肆通信，直接恢复这个函数的话 游戏会在1分钟内d出SX非法模块提示.

其实以上说的这么多限制

都是因为TP保护造成的.其实这些东西研究了很久后,发现其实就是的PIHOOK这方面

既然我们现在知道了TP保护的保护特点和这几个API分析后的结果.

接下来就是要做出相应的解除TP保护（也就是这些APIHOOK） )

.

下面我在梳理一下头绪给出相应的解决方案

1.首先直接恢复 第1、2、3处的SSDT表中的HOOK

2.绕过4、5处的HOOK 不采用直接恢复

3.将TP保护程序中的debugport清零的内核线程干掉 停止该线程继续运行.

4.恢复硬件断点

但是要有一个先后的逻辑顺序

因为内核有一个线程负责监视几个地方，必须要先干掉它。

但是这个内容我写在了处理debugport清零的一起，也就是第3步。所以大家在照搬源码的时候注意代码执行次序。

先从简单的工作讲起，恢复纤棚1、2、3处的HOOK

方法1：程序最开始判断是否有OD的标题或进程。但这种方法很容易绕过。

方法2：取父进程，一般来讲程改指序的父进程是explorer.exe，备迟如果不是explorer.exe写上关机代码。

方法3. hook WriteProcessMemory这个api，OD断点的原理是在下断点的仿歼李内存地址写入0xCC（int 3）；hook住这个api那么od就无法下断，有点复杂；

这是一个计算机错误以信息栏的状态显示包含特定的错碧纳误代码以及相应的解释。一般来说发生前用户会感到电脑明显的缓慢，当信息栏被关闭后程序一般会自动关闭或者失去响应。有时会导致电悔橘没脑重启。有多种情况会导致这些问题，比如：软件问题、内存问题等

导致这些问题的原因包括：

1.Tsr程序（终止并驻留程序）之间的冲突；

2.其他正在运行的程序（常见于扩展程序以及软件的其他附加程序例如google工具拦）；

3.软件问题；

4.内存问题伍纤；

5.危险程序例如病毒。

如果想解决的话

先把所有程序关闭，然后安装更新补丁升级到最新版本或者重新安装wps。然后彻底杀毒，

如果之后还不行的话就要重新安装系统。

---