散谈游戏保护那点事~就从_TP开始入手吧
標(biāo) 題:?【原創(chuàng)】散談?dòng)螒虮Wo(hù)那點(diǎn)事~就從_TP開(kāi)始入手吧
作 者:?crazyearl
時(shí) 間:?2010-12-20,02:37:22
鏈 接:?http://bbs.pediy.com/showthread.php?t=126802
聲明:本文只為研究技術(shù),請(qǐng)所有童鞋切勿使用本文之方法做下那天理難容罪惡不舍之壞事。
?????????既是研究游戲保護(hù),那么總要有一個(gè)研究對(duì)象。本文就以TMD_TP這款游戲保護(hù)為例進(jìn)行分析講解。請(qǐng)勿對(duì)號(hào)入座,如有雷同之處。純屬反匯編引擎之錯(cuò)誤,不關(guān)我的事!
????????轉(zhuǎn)載請(qǐng)注明出處?
????????關(guān)鍵字:DNF?驅(qū)動(dòng)保護(hù)
????????鑒于最近很多同學(xué)找上門(mén)來(lái)求解這那問(wèn)題,反正這東西又不是絕密檔案,放在我手里大半個(gè)月了,還不如放出來(lái)讓大家一起進(jìn)步算了。另外都是取之看雪還之看雪罷了。
索性我也就公布一個(gè)全套的方案。絕無(wú)其他意思,所以還請(qǐng)同道中人嘴下留情。切勿背地使壞!
?
????????在正式開(kāi)篇之前我要感謝看雪ID:十年寒窗?在我最困惑的時(shí)候,他給予了最大的幫助!另外還有一位和我同歲的神秘人物也給予了不小的幫助,感謝你們。
?
????????廢話了半天,正式開(kāi)始吧。
tmd_TP也就是國(guó)內(nèi)比較流行的游戲D_N*F的游戲保護(hù)。
它在ring0層一共HOOK了幾個(gè)地方和一些其他的工作。來(lái)達(dá)到保護(hù)的目的
下面是簡(jiǎn)報(bào):
引用:
NtOpenThread??? //防止調(diào)試器在它體內(nèi)創(chuàng)建線程
NtOpenProcess?? //防止OD等在進(jìn)程列表看到它
KiAttachProcess?? //防止其他軟件附加它
NtReadVirtualMemory? //防止別人讀取它的內(nèi)存
NtWriteVirtualMemory? //防止別人在它的內(nèi)存里面亂寫(xiě)亂畫(huà)
KDCOM.dll:KdReceivePacket? //這兩個(gè)是COM串口的接受和發(fā)送數(shù)據(jù)
KDCOM.dll:KdSendPacket????? //主要用來(lái)方式別人雙機(jī)調(diào)試
使用了KdDisableDebugger來(lái)禁用雙機(jī)調(diào)試
代碼:
.text:010025F0???????????????? jz????? short loc_1002622
.text:010025F2???????????????? call??? sub_10022A4
.text:010025F7???????????????? call??? ds:KdDisableDebugger
.text:010025FD???????????????? push??? offset byte_10022EC
.text:01002602???????????????? push??? esi
.text:01002603???????????????? push??? offset byte_10022DC
.text:01002608???????????????? push??? edi
.text:01002609???????????????? push??? dword_100CF24
?
并對(duì)debugport進(jìn)行了瘋狂的清零操作
甚至還包括EPROCESS+70\+74\+78等幾處位置
?
處理的手段通常都是向64端口寫(xiě)入FE導(dǎo)致計(jì)算機(jī)被重啟
代碼:
.text:01001665???????????????? mov???? al, 0FEh
.text:01001667???????????????? out???? 64h, al???????? ; AT Keyboard controller 8042.
.text:01001667???????????????????????????????????????? ; Resend the last transmission
.text:01001669???????????????? popa
.text:0100166A???????????????? retn
?
下面簡(jiǎn)單看下他關(guān)鍵的幾個(gè)HOOK:
KiAttachProcess???
?
NtReadVirtualMemory??
?
NtWriteVirtualMemory??
?
NtOpenThread
?
NtOpenProcess?
?
引用:
其中,前3個(gè)直接恢復(fù)即可。
第4個(gè)有監(jiān)視,直接恢復(fù)即刻重啟
第5個(gè)和ring3有通信,直接恢復(fù)1分鐘內(nèi)SX非法模塊
?
根據(jù)上面的分析,下面給出相應(yīng)的解決方案
1.直接恢復(fù)?第1、2、3處HOOK
2.繞過(guò)4、5處HOOK
3.將debugport清零的內(nèi)核線程干掉
4.恢復(fù)硬件斷點(diǎn)
但是要有一個(gè)先后的邏輯順序
因?yàn)閮?nèi)核有一個(gè)線程負(fù)責(zé)監(jiān)視幾個(gè)地方,必須要先干掉它。
但是這個(gè)內(nèi)容我寫(xiě)在了處理debugport清零的一起,也就是第3步。所以大家在照搬源碼的時(shí)候
注意代碼執(zhí)行次序
?
先從簡(jiǎn)單的工作講起,恢復(fù)1、2、3處的HOOK
KiAttachProcess的處理
代碼:
//
//??名稱(chēng):? Nakd_KiAttachProcess
//??功能:? My_RecoveryHook_KiAttachProcess的中繼函數(shù)
//??參數(shù):?
//??返回:?
//
static NAKED VOID? Nakd_KiAttachProcess()
{
? __asm
? {
??? mov???? edi,edi
??? push??? ebp
??? mov???? ebp,esp
??? push??? ebx
??? push??? esi
??? mov??? eax,KiAttachProcessAddress? //注意這個(gè)是全局變量?BYTE*
??? add??? eax,7
??? jmp??? eax
? }
}
//
//??名稱(chēng):? RecoveryHook_KiAttachProcess
//??功能:??解除游戲保護(hù)對(duì)_KiAttachProcess函數(shù)的HOOK(DNF)
//??參數(shù):?
//??返回:??狀態(tài)
//
NTSTATUS My_RecoveryHook_KiAttachProcess()
{
? BYTE??? *KeAttachProcessAddress = NULL;? //KeAttachProcess函數(shù)地址
? BYTE??? *p;
? BYTE??? MovEaxAddress[5]? = {0xB8,0,0,0,0};? //
? BYTE??? JmpEax[2]????? = {0xff,0xe0};
? KIRQL??? Irql;
? //特征碼
? BYTE? Signature1 = 0x56,? //p-1
????? Signature2 = 0x57,? //p-2
????? Signature3 = 0x5F,? //p-3
????? Signature4 = 0x5E,? //p+5
????? Signature5 = 0xE8;? //p第一個(gè)字節(jié)
?
? //獲得KeAttachProcess地址,然后通過(guò)特征碼找到
? //KiAttachProcess的地址
? KeAttachProcessAddress = (BYTE*)MyGetFunAddress(L"KeAttachProcess");
? if (KeAttachProcessAddress == NULL)
? {
??? KdPrint(("KeAttachProcess地址獲取失敗\n"));
??? return? FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
? }
? //將p指向KeAttachProcess函數(shù)開(kāi)始處
? p = KeAttachProcessAddress;
? while (1)
? {
??? if ((*(p-1) == Signature1) &&
????? (*(p-2) == Signature2) &&
????? (*(p+5) == Signature3) &&
????? (*(p+6) == Signature4) &&
????? (*p??? == Signature5))
??? {
????? //定位成功后取地址
????? KiAttachProcessAddress = *(PULONG)(p+1)+(ULONG)(p+5);
????? break;
??? }
?
??? //推動(dòng)指針
??? p++;
? }
?
? //計(jì)算中繼函數(shù)地址
? *(ULONG *)(MovEaxAddress+1)=(ULONG)Nakd_KiAttachProcess;
?
? WPOFF();? //清除CR0
? //提升IRQL中斷級(jí)
? Irql=KeRaiseIrqlToDpcLevel();
? //寫(xiě)入
? RtlCopyMemory(KiAttachProcessAddress,MovEaxAddress,5);
? RtlCopyMemory(KiAttachProcessAddress+5,JmpEax,2);
? //恢復(fù)Irql
? KeLowerIrql(Irql);
? WPON();??? //恢復(fù)CR0
?
? return? STATUS_SUCCESS;
}
?
NtReadVirtualMemory和
NtWriteVirtualMemory的處理
注意這里,我對(duì)他們倆開(kāi)頭的第2句PUSH的處理
我直接寫(xiě)入了push 0x78563412
大家可以根據(jù)自己的地址來(lái)硬編碼一次。
或者干脆這樣使用
代碼:
//
//??名稱(chēng):? My_RecoveryHook_NtReadAndWriteMemory
//??功能:??解除游戲保護(hù)對(duì)NtReadVirtualMemory和
//????? NtWriteVirtualMemory的HOOK
//??參數(shù):?
//??返回:?
//
NTSTATUS My_RecoveryHook_NtReadAndWriteMemory()
{
? BYTE? Push1Ch[2]? = {0x6a,0x1c};? //0~2字節(jié)
? BYTE? PushAdd[5]? = {0x68,0x12,0x34,0x56,0x78};? //NtReadVirtualMemory[物理機(jī)]
? //BYTE? PushAdd2[5]? = {0x68,0xf0,0x6f,0x4f,0x80};? //NtWriteVirtualMemory[物理機(jī)]
? KIRQL? Irql;
? BYTE? *NtReadVirtualMemoryAddress??? = NULL;? //NtReadVirtualMemory的地址
? BYTE? *NtWriteVirtualMemoryAddress? = NULL;? //NtWriteVirtualMemory的地址
?
? //從SSDT表中獲取NtReadVirtualMemory函數(shù)地址
? NtReadVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0xBA);
? if (NtReadVirtualMemoryAddress == NULL)
? {
??? KdPrint(("NtReadVirtualMemory函數(shù)地址獲取失敗! \n"));
??? return? FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
? }
? //從SSDT表中獲取NtWriteVirtualMemory函數(shù)地址
? NtWriteVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0x115);
? if (NtWriteVirtualMemoryAddress == NULL)
? {
??? KdPrint(("NtWriteVirtualMemory函數(shù)地址獲取失敗! \n"));
??? return? FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
? }
?
? WPOFF();? //清除CR0
? //提升IRQL中斷級(jí)
? Irql=KeRaiseIrqlToDpcLevel();
? //寫(xiě)入
? RtlCopyMemory(NtReadVirtualMemoryAddress,Push1Ch,2);
? RtlCopyMemory(NtReadVirtualMemoryAddress+2,PushAdd,5);
?
? RtlCopyMemory(NtWriteVirtualMemoryAddress,Push1Ch,2);
? RtlCopyMemory(NtWriteVirtualMemoryAddress+2,PushAdd,5);
? //恢復(fù)Irql
? KeLowerIrql(Irql);
? WPON();??? //恢復(fù)CR0
?
? return? STATUS_SUCCESS;
}
?
好了,下面來(lái)處理
NtOpenProcess和
NtOpenThread
這兩個(gè)函數(shù)的處理上不能太魯莽了。
手法要風(fēng)騷一點(diǎn)細(xì)膩一點(diǎn)了
介于篇幅的原因,我只貼出來(lái)前者的處理方法,后者雷同
細(xì)微之處大家自行修改。我總不能真的給你方法又給你工具。眼看著自己變成教唆犯
代碼:
//NtOpenProcess用到的全局變量[為了方便堆棧平衡的處理使用全局變量]
PEPROCESS? processEPROCESS = NULL;? //保存訪問(wèn)者的EPROCESS
ANSI_STRING? p_str1,p_str2;????? //保存進(jìn)程名稱(chēng)
BYTE??? *ObOpenObjectByPointerAddress? = NULL; //ObOpenObjectByPointer的地址
BYTE??? *p_TpHookAddress = NULL;??????? //TP的HOOK函數(shù)地址
BYTE??? *p_ReturnAddress = NULL;??????? //返回到的地址
BYTE??? *p_MyHookAddress = NULL;??????? //我們的HOOK函數(shù)在哪寫(xiě)入
#define DNF_EXE? "DNF.exe"? //要檢索的進(jìn)程名
//
//??名稱(chēng):? Nakd_NtOpenProcess
//??功能:? My_RecoveryHook_NtOpenProcess的中繼函數(shù)
//??參數(shù):?
//??返回:?
//
static NAKED VOID? Nakd_NtOpenProcess()
{
? //獲得調(diào)用者的EPROCESS
? processEPROCESS = IoGetCurrentProcess();
? //將調(diào)用者的進(jìn)程名保存到str1中
? RtlInitAnsiString(&p_str1,(ULONG)processEPROCESS+0x174);
? //將我們要比對(duì)的進(jìn)程名放入str2
? RtlInitAnsiString(&p_str2,DNF_EXE);
? if (RtlCompareString(&p_str1,&p_str2,TRUE) == 0)
? {
??? //說(shuō)明是DNF進(jìn)程訪問(wèn)了這里
??? __asm
??? {
????? push??? dword ptr [ebp-38h]
????? push??? dword ptr [ebp-24h]
????? push? p_ReturnAddress
????? mov??? eax,p_TpHookAddress
????? jmp??? eax
??? }
? }
? else
? {
??? __asm
??? {
????? push??? dword ptr [ebp-38h]
????? push??? dword ptr [ebp-24h]
????? push? p_ReturnAddress
????? mov??? eax,ObOpenObjectByPointerAddress
????? jmp??? eax
??? }
? }
}
?
//
//??名稱(chēng):? My_RecoveryHook_NtOpenProcess
//??功能:??解除游戲保護(hù)對(duì)NtOpenProcess的HOOK
//??參數(shù):?
//??返回:??狀態(tài)
//
NTSTATUS My_RecoveryHook_NtOpenProcess()
{
? BYTE??? *NtOpenProcessAddress????? = NULL;? //NtOpenProcess的地址
? BYTE??? *p = NULL;????? //臨時(shí)
? TOP5CODE? *top5code = NULL;? //保存5字節(jié)內(nèi)容
? BYTE??? JmpAddress[6] = {0xE9,0,0,0,0,0x90};
? KIRQL??? Irql;
?
??? //獲取NtOpenProcess的地址
??? NtOpenProcessAddress = (BYTE*)MyGetFunAddress(L"NtOpenProcess");
??? if (NtOpenProcessAddress == NULL)
??? {
????? KdPrint(("NtOpenProcess地址獲取失敗\n"));
????? return? FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
??? }
??? //獲取ObOpenObjectByPointer的地址
??? ObOpenObjectByPointerAddress = (BYTE*)MyGetFunAddress(L"ObOpenObjectByPointer");
??? if (ObOpenObjectByPointerAddress == NULL)
??? {
????? KdPrint(("ObOpenObjectByPointer地址獲取失敗\n"));
????? return? FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
??? }
?
??? //將p指向NtOpenProcess函數(shù)開(kāi)始處
??? p = NtOpenProcessAddress;
??? //用一個(gè)無(wú)限循環(huán)來(lái)判斷給定的特征碼來(lái)確定被HOOK位置
??? while (1)
??? {
????? if ((*(p-7)??? == 0x50) &&
??????? (*(p-0xE)? == 0x56) &&
??????? (*(p+0xd)? == 0x50) &&
??????? (*(p+0x16)? == 0x3b) &&
??????? (*(p+0x17)? == 0xce) &&
??????? (*p????? == 0xE8) &&
??????? (*(p+5)??? == 0x8b) &&
??????? (*(p+6)??? == 0xf8))
????? {
??????? KdPrint(("%0X \n",(ULONG)p));
??????? break;
????? }
????? //推動(dòng)指針向前走
????? p++;
??? }
?
??? //將top5code指向?p?的當(dāng)前處
??? //用以取出?call [地址]?這5字節(jié)里面的地址
??? top5code = (TOP5CODE*)p;
??? p_TpHookAddress = (BYTE*)((ULONG)p+5+top5code->address);
?
??? //找到我們寫(xiě)入自定義函數(shù)的地址
??? p_MyHookAddress = p-6;
??? //保存調(diào)用ObOpenObjectByPointer函數(shù)以后的返回地址
??? p_ReturnAddress = p+5;
?
??? //將一條JMP Nakd_NtOpenProcess寫(xiě)入到數(shù)組中
??? *(ULONG *)(JmpAddress+1)=(ULONG)Nakd_NtOpenProcess - ((ULONG)p_MyHookAddress+5);
?
??? WPOFF();? //清除CR0
??? //提升IRQL中斷級(jí)
??? Irql=KeRaiseIrqlToDpcLevel();
??? //寫(xiě)入
??? RtlCopyMemory(p_MyHookAddress,JmpAddress,6);
??? //恢復(fù)Irql
??? KeLowerIrql(Irql);
??? WPON();??? //恢復(fù)CR0
?
? return? STATUS_SUCCESS;
}
處理之后:
簡(jiǎn)而言之其原理就是,任何人調(diào)用了NtOpenProcess的時(shí)候會(huì)先進(jìn)入
Nakd_NtOpenProcess函數(shù),我們判斷。如果是游戲進(jìn)程訪問(wèn)的話,就有可能是驗(yàn)證之類(lèi)的
我們轉(zhuǎn)到它自己的函數(shù)里面。讓它保持與ring3層的通信。否則的話,嘿嘿……
?
接下來(lái)是第3步處理debugport清零的這塊了。
我想絕大多數(shù)人關(guān)心的都是這里了
網(wǎng)絡(luò)上能搜多到的辦法幾乎都失效了
有辦法的人又不肯放出來(lái),急眼了就自己想了個(gè)土辦法
雖然不那么時(shí)尚。但是絕對(duì)的奏效。
由于代碼凌亂不堪,簡(jiǎn)單說(shuō)下其原理。
我們定位內(nèi)核模塊TxxxSxxx.sys的首地址
然后根據(jù)特征碼遍歷整個(gè)模塊找到我們需要的地方,然后干掉他們。
那么我們又如何能夠通過(guò)人工的判斷出來(lái)到底是哪里在作怪呢
利用syser或Start SoftICE對(duì)EPROCESS+BC處設(shè)置斷點(diǎn)。就可以一層一層的追溯上去了
到底如何用他們,我想大家自己多花點(diǎn)時(shí)間在看雪和GOOGLE或者BAIDU上面是不會(huì)吃虧的。
由于ZwQuerySystemInformation函數(shù)的使用非常繁瑣。而且篇幅有限。所以我只給出關(guān)鍵代碼,至于這個(gè)函數(shù)如何使用。大家可以自己在搜索引擎找“枚舉內(nèi)核模塊”
代碼:
//
//??名稱(chēng):? MyEnumKernelModule
//??功能:??枚舉內(nèi)核模塊
//??參數(shù):? str:內(nèi)核模塊名稱(chēng)
//????? moduleadd:該模塊地址[傳出]
//????? modulesie:該模塊大小[傳出]
//??返回:?
//
NTSTATUS MyEnumKernelModule(IN CHAR* str,OUT ULONG *moduleadd,OUT ULONG *modulesie)
{
? NTSTATUS status = STATUS_SUCCESS;
? ULONG?? n?????? = 0;
? ULONG?? i?????? = 0;
? PSYSTEM_MODULE_INFORMATION_ENTRY?? module = NULL;
? PVOID?? pbuftmp = NULL;
? ANSI_STRING??? ModuleName1,ModuleName2;
? BOOLEAN? tlgstst= FALSE;? //如果找到了指定模塊則設(shè)置為T(mén)RUE
?
? //利用11號(hào)功能枚舉內(nèi)核模塊
? status = ZwQuerySystemInformation(11, &n, 0, &n);
?
? //申請(qǐng)內(nèi)存
? pbuftmp = ExAllocatePool(NonPagedPool, n);
?
? //再次執(zhí)行,將枚舉結(jié)果放到指定的內(nèi)存區(qū)域
? status = ZwQuerySystemInformation(11, pbuftmp, n, NULL);
?
? module = (PSYSTEM_MODULE_INFORMATION_ENTRY)((PULONG )pbuftmp + 1 );
?
? //初始化字符串?
? RtlInitAnsiString(&ModuleName1,str);
? //
? n?????? = *((PULONG)pbuftmp );
? for ( i = 0; i < n; i++ )
? {
??? RtlInitAnsiString(&ModuleName2,&module[i].ImageName);
??? //DbgPrint("%d\t0x%08X 0x%08X %s\n",module[i].LoadOrderIndex,module[i].Base,module[i].Size,module[i].ImageName);
?
??? if (RtlCompareString(&ModuleName1,&ModuleName2,TRUE) == 0)
??? {
????? DbgPrint("MyEnumKernelModule:%s:%0X \n",ModuleName2.Buffer,module[i].Base);
????? *moduleadd? = module[i].Base;
????? *modulesie? = module[i].Size;
????? tlgstst = TRUE;
????? break;
??? }
? }
? ExFreePool(pbuftmp);
? if tlgstst == FALSE)
? {
??? return? FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
? }
? return status;
}
?
//
//??名稱(chēng):? My_Recovery_Debugport
//??功能:??恢復(fù)游戲?qū)ebugport的清零操作
//??參數(shù):?
//??返回:?
//
NTSTATUS My_Recovery_Debugport()
{
? NTSTATUS stats;
? BYTE? *sd1 = NULL,*sd2 = NULL,*pd = NULL;
? ULONG? ModuleSize,ModuleAddress,i,number = 0;
? BYTE? *p;
? KIRQL? Irql;
? BYTE? C390[2] = {0xc3,0x90};
?
? //獲取指定的內(nèi)核模塊地址和字節(jié)數(shù)
? stats = MyEnumKernelModule("\\??\\c:\\windows\\system32\\tessafe.sys",&ModuleAddress,&ModuleSize);
? if (stats == FAILED_TO_OBTAIN_FUNCTION_ADDRESSES)
? {
??? return? FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
? }
? KdPrint(("Address:%0X Sie:%d \n",ModuleAddress,ModuleSize));
? //特征碼
? /*? sd1特征
? p-1:18 p-2:87 p-3:DB p-4:33 p-5:07
? p-6:03 p? :33 p+1:C0 p+7:3B p+8:D8
??? sd2特征
? p-1:07 p-2:87 p-3:c0 p-4:33 p+14:89
? p+15:1c p+16:38
? */
?
? //將P指向內(nèi)核模塊開(kāi)始處
? p = (BYTE*)ModuleAddress + 20;
? for (i = 0; i < ModuleSize - 20; i++,p++)
? {
??? //sd1
??? if ((*(p-1) == 0x18) &&
????? (*(p-2) == 0x87) &&
????? (*(p-3) == 0xDB) &&
????? (*(p-4) == 0x33) &&
????? (*(p-5) == 0x07) &&
????? (*(p-6) == 0x03) &&
????? (*p??? == 0x33) &&
????? (*(p+1) == 0xC0) &&
????? (*(p+7) == 0x3B) &&
????? (*(p+8) == 0xD8) )
??? {
????? KdPrint(("--SD1 -- %0X \n",(ULONG)p));
????? sd1 = p;
????? number+=1;? //記錄已經(jīng)獲取一個(gè)特征
??? }
??? //sd2
??? if ((*(p-1) == 0x07) &&
????? (*(p-2) == 0x87) &&
????? (*(p-3) == 0xC0) &&
????? (*(p-4) == 0x33) &&
????? (*(p+14)== 0x89) &&
????? (*(p+15)== 0x1C) &&
????? (*(p+16)== 0x38) &&
????? (*p??? == 0xA1))
??? {
????? KdPrint(("--SD2 -- %0X \n",(ULONG)p));
????? sd2 = p;
????? number+=1;? //記錄已經(jīng)獲取一個(gè)特征
??? }
??? //pd
??? if ((*(p-2) == 0xE3) &&
????? (*(p-3) == 0xC1) &&
????? (*(p-7) == 0xF3) &&
????? (*(p-8) == 0x33) &&
????? (*(p-10)== 0xEB) &&
????? (*(p-11)== 0xC1) &&
????? (*(p+1) == 0xF3) &&
????? (*(p+2) == 0x42) &&
????? (*(p+3) == 0x3B) &&
????? (*(p+4) == 0xD1) &&
????? (*p??? == 0x33))
??? {
????? KdPrint(("--PD -- %0X \n",(ULONG)p));
????? pd = p;
????? number+=1;? //記錄已經(jīng)獲取一個(gè)特征
??? }
??? if (number >= 3)
??? {
????? KdPrint(("特征?%d ---退出\n",number));
????? break;
??? }
? }
?
? //首先干掉監(jiān)視函數(shù)
? while (1)
? {
??? if ((*(pd-1) == 0xcc) && (*(pd-2) == 0xcc))
??? {
????? KdPrint(("pd首地址:%0X \n",(ULONG)pd));
????? WPOFF();? //清除CR0
????? //提升IRQL中斷級(jí)
????? Irql=KeRaiseIrqlToDpcLevel();
????? //寫(xiě)入
????? RtlCopyMemory(pd,C390,2);
????? //恢復(fù)Irql
????? KeLowerIrql(Irql);
????? WPON();??? //恢復(fù)CR0
????? break;
??? }
??? pd--;
? }
? //干掉2個(gè)SD
? while (1)
? {
??? if ((*(sd1-1) == 0xcc) && (*(sd1-2) == 0xcc))
??? {
????? KdPrint(("sd1首地址:%0X \n",(ULONG)sd1));
????? WPOFF();? //清除CR0
????? //提升IRQL中斷級(jí)
????? Irql=KeRaiseIrqlToDpcLevel();
????? //寫(xiě)入
????? RtlCopyMemory(sd1,C390,2);
????? //恢復(fù)Irql
????? KeLowerIrql(Irql);
????? WPON();??? //恢復(fù)CR0
????? break;
??? }
??? sd1--;
? }
? while (1)
? {
??? if ((*(sd2-1) == 0xcc) && (*(sd2-2) == 0xcc))
??? {
????? KdPrint(("sd2首地址:%0X \n",(ULONG)sd2));
????? WPOFF();? //清除CR0
????? //提升IRQL中斷級(jí)
????? Irql=KeRaiseIrqlToDpcLevel();
????? //寫(xiě)入
????? RtlCopyMemory(sd2,C390,2);
????? //恢復(fù)Irql
????? KeLowerIrql(Irql);
????? WPON();??? //恢復(fù)CR0
????? break;
??? }
??? sd2--;
? }
?
? return? STATUS_SUCCESS;
}
?
?
最后,處理一下硬件斷點(diǎn)就可以了
這里我們使用到了SSDT HOOK
分別HOOK了?SSDT?表中索引為?0xD5和0x55的函數(shù)。由于這里比較簡(jiǎn)單
我想10個(gè)人有9個(gè)人懂得SSDT HOOK的。所以直接給出源碼,不做原理分析了
代碼:
//處理硬件斷點(diǎn)時(shí)
ULONG??? uNtSetContextThreadAddress;
ULONG??? uNtGetContextThreadAddress;
ULONG??? TenNtSetContextThread,
????? TenNtGetContextThread;
//
//??名稱(chēng):? _MyNtGetThreadContext
//??功能:??兩個(gè)SSDT HOOK偽造函數(shù)的中繼函數(shù)
//??參數(shù):?
//??返回:?
//
static NAKED NTSTATUS Nakd_NtGetThreadContext(HANDLE hThread, PCONTEXT pContext)
{
? __asm
? {
??? jmp??? dword ptr[TenNtGetContextThread]
? }
}
?
static NAKED NTSTATUS Nakd_NtSetThreadContext(HANDLE hThread, PCONTEXT pContext)
{
? __asm
? {
??? jmp??? dword ptr[TenNtSetContextThread]
? }
}
//
//??名稱(chēng):? MyNtGetThreadContext && MyNtSetThreadContext
//??功能:? NtGetThreadContext與NtSetThreadContext函數(shù)被SSDT HOOK的偽造函數(shù)
//??參數(shù):?
//??返回:?
//
NTSTATUS MyNtGetThreadContext(HANDLE hThread, PCONTEXT pContext)
{
? if ( _stricmp((const char*)PsGetProcessImageFileName(PsGetCurrentProcess()),DNF_EXE) )
? {
??? return Nakd_NtGetThreadContext(hThread, pContext);
? }
? return STATUS_UNSUCCESSFUL;
}
?
?
NTSTATUS MyNtSetThreadContext(HANDLE hThread, PCONTEXT pContext)
{
? if ( _stricmp((const char*)PsGetProcessImageFileName(PsGetCurrentProcess()),DNF_EXE) )
? {
??? return Nakd_NtSetThreadContext(hThread, pContext);
? }
? //DbgPrint("Dr7:%08X\n", pContext->Dr7);
? if ( pContext->Dr7 == 0x101 )
? {
??? return Nakd_NtSetThreadContext(hThread, pContext);
? }
? return STATUS_UNSUCCESSFUL;
}
?
//
//??名稱(chēng):? My_Recovery_HardwareBreakpoint
//??功能:??通過(guò)對(duì)set與get進(jìn)行SSDT HOOK來(lái)恢復(fù)硬件斷點(diǎn)
//??參數(shù):?
//??返回:?
//
NTSTATUS My_Recovery_HardwareBreakpoint()
{
? KIRQL??? Irql;
? //獲取地址
? uNtSetContextThreadAddress = (ULONG)KeServiceDescriptorTable->ServiceTableBase+0xD5 * 4;
? uNtGetContextThreadAddress = (ULONG)KeServiceDescriptorTable->ServiceTableBase+0x55 * 4;
?
? TenNtSetContextThread = *(ULONG*)uNtSetContextThreadAddress;
? TenNtGetContextThread = *(ULONG*)uNtGetContextThreadAddress;
?
? KdPrint(("Set地址:%0X\n",TenNtSetContextThread));
? KdPrint(("Get地址:%0X\n",TenNtGetContextThread));
?
? KdPrint(("Process:%0X \n",(ULONG)p_MyHookAddress));
? KdPrint(("Thread:%0X \n",(ULONG)t_MyHookAddress));
?
? WPOFF();? //清除CR0
? //提升IRQL中斷級(jí)
? Irql=KeRaiseIrqlToDpcLevel();
?
? //完成SSDT HOOK
? *(ULONG*)uNtGetContextThreadAddress = (ULONG)MyNtGetThreadContext;
? *(ULONG*)uNtSetContextThreadAddress = (ULONG)MyNtSetThreadContext;
?
? //恢復(fù)Irql
? KeLowerIrql(Irql);
? WPON();??? //恢復(fù)CR0
?
? return STATUS_UNSUCCESSFUL;
}
?
另外還有一些功能型的函數(shù)一并給出,省的大家迷糊
我也算服務(wù)到位了,再看上面代碼迷糊的時(shí)候。看這里找找
看看有沒(méi)有能用到的,或者翻一下我以往的帖子。里面應(yīng)該有
代碼:
//保存5字節(jié)代碼的結(jié)構(gòu)
#pragma pack(1)
typedef struct _TOP5CODE
{
? UCHAR? instruction;? //指令
? ULONG? address;??? //地址
}TOP5CODE,*PTOP5CODE;
#pragma pack( )
?
//ssdt表結(jié)構(gòu)
typedef struct _ServiceDescriptorTable {
? PVOID ServiceTableBase;??? //System Service Dispatch Table?的基地址?
? PVOID ServiceCounterTable;
? //包含著?SSDT?中每個(gè)服務(wù)被調(diào)用次數(shù)的計(jì)數(shù)器。這個(gè)計(jì)數(shù)器一般由sysenter?更新。?
? unsigned int NumberOfServices;//由?ServiceTableBase?描述的服務(wù)的數(shù)目。?
? PVOID ParamTableBase; //包含每個(gè)系統(tǒng)服務(wù)參數(shù)字節(jié)數(shù)表的基地址-系統(tǒng)服務(wù)參數(shù)表?
}*PServiceDescriptorTable;
//由SSDT索引號(hào)獲取當(dāng)前函數(shù)地址
//NtOpenProcess? [[KeServiceDescriptorTable]+0x7A*4]
extern PServiceDescriptorTable KeServiceDescriptorTable;
?
//
//??名稱(chēng):? MyGetFunAddress
//??功能:??獲取函數(shù)地址
//??參數(shù):??函數(shù)名稱(chēng)字符串指針
//??返回:??函數(shù)地址
//
ULONG MyGetFunAddress( IN PCWSTR FunctionName)
{
? UNICODE_STRING UniCodeFunctionName;
? RtlInitUnicodeString( &UniCodeFunctionName, FunctionName );
? return (ULONG)MmGetSystemRoutineAddress( &UniCodeFunctionName );??
}
?
//
//??名稱(chēng):? myGetCurrentAddress
//??功能:??獲取SSDT表中指定函數(shù)的當(dāng)前地址
//??參數(shù):? index:指定函數(shù)在表中的索引號(hào)
//??返回:??地址
//
ULONG myGetCurrentAddress(IN ULONG index)
{
? ULONG??? SSDT_Cur_Addr;
? __asm
? {
??? push? ebx
??? push? eax
??? mov??? ebx,KeServiceDescriptorTable
??? mov??? ebx,[ebx]
??? mov??? eax,index
??? shl??? eax,2
??? add??? ebx,eax
??? mov??? ebx,[ebx]
??? mov??? SSDT_Cur_Addr,ebx
??? pop??? eax
??? pop??? ebx
? }
?
? return? SSDT_Cur_Addr;
}
?
VOID WPOFF()
{
? __asm
? {
??? cli
??? mov eax,cr0
??? and eax,not 10000h
??? mov cr0,eax
? }
}
?
VOID WPON()
{
? __asm
? {
??? mov eax,cr0
??? or eax,10000h
??? mov cr0,eax
??? sti
? }
}
?
記在最后面的話:大家要善用搜索引擎(建議學(xué)習(xí)google hacking技巧),勤做筆記,最后要說(shuō)的依然是感謝,感謝GOOGLE\BAIDU\PEDIY\DEBUGMAN。還有那些默默發(fā)帖的人~
如果有時(shí)間的話,我會(huì)將其他幾個(gè)游戲保護(hù)的分析資料也放出來(lái)
什么GPK\HP\HS的。大家不要催不要急,一定會(huì)放出來(lái)的。等到我覺(jué)得這些東西都沒(méi)有挑戰(zhàn)性的時(shí)候那么也就不會(huì)再有資料陸續(xù)放出來(lái)了……
如果有好東西記得與我分享哈
總結(jié)
以上是生活随笔為你收集整理的散谈游戏保护那点事~就从_TP开始入手吧的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: WinDbg学习笔记(二)--字符串访问
- 下一篇: 围观一下tp的游戏保护 一