视频中的ntdll上被Hook的API函数叫做LdrInitializeThunk,这个API主要用于将外界dll与本进程连接,恰恰我们在使用VEH调试器调试时会加载VEH.dll到游戏进程中,游戏hook了这个函数,hook地址是crossfire_x64base.dll中的
除了本视频中还原钩子的方法外,还可以对crossfire_x64base.dll的地址下手,分析它的汇编即可,在这里不多做解释,请各位自行操作。(部分电脑必须阻止游戏加载VSDDrvDll64.dll,否则单处理base中的地址无效。)
隐藏内容需要登录才可以看见
登录