看雪安全论坛

 

 

 

 


返回   看雪安全论坛 > Windows > 『软件调试逆向』
  登陆   注册  

『软件调试逆向』 [综合性论坛]本版讨论的主题包括:调试逆向、系统底层、商业保护、虚拟机保护、.NET平台等安全相关的话题。

发表新主题 回复
 
主题工具 显示模式
lovenikola
级别:5 | 在线时长:46小时 | 升级还需:14小时级别:5 | 在线时长:46小时 | 升级还需:14小时

lovenikola 的头像

初级会员
初级会员

资 料:
注册日期: Jun 2013
帖子: 28 lovenikola 品行端正
精华: 0
现金: 15 Kx
致谢数: 0
获感谢文章数:1
获会员感谢数:1
1 旧 2016-04-07, 14:36:04 icon17 【讨论】tP anti硬件断点
lovenikola 当前离线

最近研究硬件断点及绕过检测 但遇到了一些问题-.-
尝试方法如下
一.
1.Hook KiUserExceptionDispatcher 
2.Hook NTcontinue
3.Hook ZwGetContextThread 
2.调用SetThreadContext [msv90]设置新Dr寄存器并保存旧Dr寄存器
3.在调用RtlDispatchException 前还原了[msv90]旧Dr寄存器
4.再调用NTcontinue前 获取[msv90]Context并保存旧Dr寄存器 然后再设回新Dr寄存器
5. On ZwGetContextThread 返回[msv90]旧Dr寄存器 (如果被调用了说明已经被检测到了 这里游戏只是再采集上传我下的哪个断点)

失败告终 不知道什么原因还是被检测了
二.
1.Hook KiUserExceptionDispatcher 
2.安装VEH 并接管异常
3.创建一个线程 无限抛C5异常 (我的VEH不处理该异常,反正没崩)
4.invok SetThreadContext 断点

该方法有40%的概率不被检测 也就是说-。- 每次启动程序后如果不被检测 后面随便怎么折腾都可以了 不知道啥原因

 请教各位大神 给些提议吧
回复时引用此帖 返回顶端
lovenikola
级别:5 | 在线时长:46小时 | 升级还需:14小时级别:5 | 在线时长:46小时 | 升级还需:14小时

lovenikola 的头像

初级会员
初级会员

资 料:
注册日期: Jun 2013
帖子: 28 lovenikola 品行端正
精华: 0
现金: 15 Kx
致谢数: 0
获感谢文章数:1
获会员感谢数:1
2 旧 2016-04-07, 15:09:58 默认
lovenikola 当前离线

发现一个神奇的事
游戏自己的KiUserExceptionDispatcher函数中  0xxxxxxx= NTcontinue 如果将 call dword[0xxxxxxx] JMP到 ntdll KiUserExceptionDispatcher中的 call NTcontinue  游戏会检测到硬件断点 (已排除CRC可能)
回复时引用此帖 返回顶端
天涯何处
级别:15 | 在线时长:289小时 | 升级还需:31小时级别:15 | 在线时长:289小时 | 升级还需:31小时级别:15 | 在线时长:289小时 | 升级还需:31小时级别:15 | 在线时长:289小时 | 升级还需:31小时级别:15 | 在线时长:289小时 | 升级还需:31小时级别:15 | 在线时长:289小时 | 升级还需:31小时

天涯何处 的头像

初级会员
初级会员

资 料:
注册日期: Mar 2014
帖子: 302 天涯何处 品行端正
精华: 0
现金: 29 Kx
致谢数: 0
获感谢文章数:0
获会员感谢数:0
3 旧 2016-04-07, 18:58:14 默认
天涯何处 当前离线

看不懂!先顶一下吧
回复时引用此帖 返回顶端
lovenikola
级别:5 | 在线时长:46小时 | 升级还需:14小时级别:5 | 在线时长:46小时 | 升级还需:14小时

lovenikola 的头像

初级会员
初级会员

资 料:
注册日期: Jun 2013
帖子: 28 lovenikola 品行端正
精华: 0
现金: 15 Kx
致谢数: 0
获感谢文章数:1
获会员感谢数:1
4 旧 2016-04-09, 14:19:13 默认
lovenikola 当前离线

经过分析 只要我用SetThreadContext 改变了它的DR寄存器 就会被检测到 
-。- 我怀疑是R0在检测 或者自身线程有个定时器之类的东西在检查寄存器
回复时引用此帖 返回顶端
核心未拥有
级别:27 | 在线时长:849小时 | 升级还需:47小时级别:27 | 在线时长:849小时 | 升级还需:47小时级别:27 | 在线时长:849小时 | 升级还需:47小时级别:27 | 在线时长:849小时 | 升级还需:47小时级别:27 | 在线时长:849小时 | 升级还需:47小时级别:27 | 在线时长:849小时 | 升级还需:47小时

核心未拥有 的头像

初级会员
初级会员

资 料:
注册日期: Jan 2016
帖子: 174 核心未拥有 品行端正
精华: 0
现金: 110 Kx
致谢数: 0
获感谢文章数:0
获会员感谢数:0
5 旧 2016-04-09, 14:29:32 默认
核心未拥有 当前离线

他一启动就设置完了,你再修改,读取发现不是自己的地址,就死了
回复时引用此帖 返回顶端
lovenikola
级别:5 | 在线时长:46小时 | 升级还需:14小时级别:5 | 在线时长:46小时 | 升级还需:14小时

lovenikola 的头像

初级会员
初级会员

资 料:
注册日期: Jun 2013
帖子: 28 lovenikola 品行端正
精华: 0
现金: 15 Kx
致谢数: 0
获感谢文章数:1
获会员感谢数:1
6 旧 2016-04-09, 18:59:51 默认
lovenikola 当前离线

引用:
最初由 核心未拥有发布 查看帖子
他一启动就设置完了,你再修改,读取发现不是自己的地址,就死了
 是的 暂时想不到解决办法了
回复时引用此帖 返回顶端
yy虫子yy
级别:21 | 在线时长:559小时 | 升级还需:13小时级别:21 | 在线时长:559小时 | 升级还需:13小时级别:21 | 在线时长:559小时 | 升级还需:13小时

初级会员
初级会员

资 料:
注册日期: Nov 2010
帖子: 381 yy虫子yy 品行端正
精华: 0
现金: 103 Kx
致谢数: 4
获感谢文章数:2
获会员感谢数:2
7 旧 2016-04-09, 19:37:50 默认
yy虫子yy 当前离线

硬断被它自己给占坑了
回复时引用此帖 返回顶端
Callback
级别:12 | 在线时长:217小时 | 升级还需:4小时级别:12 | 在线时长:217小时 | 升级还需:4小时级别:12 | 在线时长:217小时 | 升级还需:4小时

初级会员
初级会员

资 料:
注册日期: Apr 2011
帖子: 17 Callback 品行端正
精华: 0
现金: 80 Kx
致谢数: 1
获感谢文章数:0
获会员感谢数:0
8 旧 2016-04-25, 19:42:52 默认
Callback 当前离线

CRC阿CRC
回复时引用此帖 返回顶端
落笔飞花
级别:25 | 在线时长:727小时 | 升级还需:53小时级别:25 | 在线时长:727小时 | 升级还需:53小时级别:25 | 在线时长:727小时 | 升级还需:53小时级别:25 | 在线时长:727小时 | 升级还需:53小时

落笔飞花 的头像

普通会员
普通会员

资 料:
注册日期: Nov 2014
帖子: 389 落笔飞花 品行端正
精华: 1
现金: 140 Kx
致谢数: 10
获感谢文章数:12
获会员感谢数:112
9 旧 2016-04-25, 20:34:30 默认
落笔飞花 当前离线

就提醒一句。X64上TP的DR调试寄存器检测是 伪占坑。他读取的东西不是他想要的 就卡死然后退出。如果是就没事儿。做个链表保存起来- -还有。。你这些方法都不是关键点。我很久之前搞得。忘了。懒得翻代码。
回复时引用此帖 返回顶端
cenaiyi
级别:5 | 在线时长:51小时 | 升级还需:9小时级别:5 | 在线时长:51小时 | 升级还需:9小时

初级会员
初级会员

资 料:
注册日期: Jan 2012
帖子: 2 cenaiyi 品行端正
精华: 0
现金: 2 Kx
致谢数: 0
获感谢文章数:0
获会员感谢数:0
10 旧 2016-04-26, 10:46:34 默认
cenaiyi 当前离线

引用:
最初由 落笔飞花发布 查看帖子
就提醒一句。X64上TP的DR调试寄存器检测是 伪占坑。他读取的东西不是他想要的 就卡死然后退出。如果是就没事儿。做个链表保存起来- -还有。。你这些方法都不是关键点。我很久之前搞得。忘了。懒得翻代码。
我尝试过在TP占坑的4个位置int3并且清空drx,在接受到后恢复并且继续执行,但是这样做仍然被检测,游戏占坑的位置被加密过,不知道怎么去分析,请教大神该怎么处理呢。
回复时引用此帖 返回顶端
mmovve
级别:1 | 在线时长:8小时 | 升级还需:4小时

mmovve 的头像

初级会员
初级会员

资 料:
注册日期: Aug 2009
帖子: 8 mmovve 品行端正
精华: 0
现金: 7 Kx
致谢数: 0
获感谢文章数:0
获会员感谢数:0
11 旧 2016-04-26, 17:24:37 默认
mmovve 当前离线

同样在研究这块,关注一下~
回复时引用此帖 返回顶端
小阿弟
级别:14 | 在线时长:280小时 | 升级还需:5小时级别:14 | 在线时长:280小时 | 升级还需:5小时级别:14 | 在线时长:280小时 | 升级还需:5小时级别:14 | 在线时长:280小时 | 升级还需:5小时级别:14 | 在线时长:280小时 | 升级还需:5小时

小阿弟 的头像

初级会员
初级会员

资 料:
注册日期: Apr 2014
帖子: 229 小阿弟 品行端正
精华: 0
现金: 131 Kx
致谢数: 2
获感谢文章数:0
获会员感谢数:0
12 旧 2016-04-26, 18:47:26 默认
小阿弟 当前离线

引用:
最初由 lovenikola发布 查看帖子
最近研究硬件断点及绕过检测 但遇到了一些问题-.-
尝试方法如下
一.
1.Hook KiUserExceptionDispatcher 
2.Hook NTcontinue
3.Hook ZwGetContextThread 
2.调用SetThreadContex...

设计TP的那帮人有马--化---腾,花大把钱养着 , 它们有着雄厚财力支撑的不断更新完善TP保护 , 如果没有一定财力支持 , 还是先搞多点钱 , 在来虐待设计TP的那帮人吧 ,

<<----------老实说光是比财力 , 就输了 。 每次更新 ,破解者都得花大把时间来逆向分析 ,这时间也是钱啊, <时间就是金钱 ,我的朋友>...
回复时引用此帖 返回顶端
生于远虑
级别:0 | 在线时长:3小时 | 升级还需:2小时

初级会员
初级会员

资 料:
注册日期: Nov 2016
帖子: 5 生于远虑 品行端正
精华: 0
现金: 26 Kx
致谢数: 0
获感谢文章数:0
获会员感谢数:0
13 旧 2017-01-01, 22:48:05 默认
生于远虑 当前离线

哈哈 tp很难搞
回复时引用此帖 返回顶端
itiansin
级别:7 | 在线时长:77小时 | 升级还需:19小时级别:7 | 在线时长:77小时 | 升级还需:19小时级别:7 | 在线时长:77小时 | 升级还需:19小时级别:7 | 在线时长:77小时 | 升级还需:19小时

itiansin 的头像

初级会员
初级会员

资 料:
注册日期: Jun 2013
帖子: 20 itiansin 品行端正
精华: 0
现金: 43 Kx
致谢数: 1
获感谢文章数:0
获会员感谢数:0
14 旧 2017-01-12, 02:43:41 默认
itiansin 当前离线

其实腾讯这个检测一点都不严  他只不过就是自己占了坑 自己处理异常 如果你把他占的坑干掉 肯定就会异常 因为程序执行流程被你改变了
回复时引用此帖 返回顶端
aimhack
级别:5 | 在线时长:58小时 | 升级还需:2小时级别:5 | 在线时长:58小时 | 升级还需:2小时

aimhack 的头像

初级会员
初级会员

资 料:
注册日期: Apr 2015
帖子: 31 aimhack 品行端正
精华: 0
现金: 7 Kx
致谢数: 0
获感谢文章数:0
获会员感谢数:0
15 旧 2017-01-13, 02:40:19 默认
aimhack 当前离线

在15年年底,TP都会自己占坑了~
回复时引用此帖 返回顶端
发表新主题 回复

添加到书签

主题工具
显示模式

发帖规则
不可以发表主题
不可以回复帖子
不可以上传附件
不可以编辑自己的帖子
论坛论坛启用 vB 代码
论坛启用 表情图标

相似的主题
主题 主题作者 论坛 回复 最后发表
【讨论】TP好奇怪 幽叶无情 『软件调试逆向』 1 2015-07-20 13:56:53
【讨论】调试TP问题 wgejydy 『软件调试逆向』 7 2015-06-04 15:22:35
【讨论】关于TP哪些事 天涯何处 『编程技术』 10 2014-06-29 01:51:35
商业保护 【讨论】【讨论】TP usano 『软件调试逆向』 8 2012-12-29 17:12:07
【讨论】TP驱动的KiAttachProcess 刘雨桐 『求助问答』 1 2012-11-24 19:21:03


所有时间均为北京时间, 现在的时间是 00:59:22.


  ©2000-2016 看雪学院(PEdiy.com) |关于我们 | 京ICP备10040895号-17 | 知道创宇提供带宽资源 | 微信公众帐号:ikanxue