首页
论坛
课程
招聘
[原创]散谈游戏保护那点事~就从_TP开始入手吧
2010-12-20 02:37 472249

[原创]散谈游戏保护那点事~就从_TP开始入手吧

2010-12-20 02:37
472249
声明:本文只为研究技术,请所有童鞋切勿使用本文之方法做下那天理难容罪恶不舍之坏事。
         既是研究游戏保护,那么总要有一个研究对象。本文就以TMD_TP这款游戏保护为例进行分析讲解。请勿对号入座,如有雷同之处。纯属反汇编引擎之错误,不关我的事!
       转载请注明出处
        关键字:DNF 驱动保护
        鉴于最近很多同学找上门来求解这那问题,反正这东西又不是绝密档案,放在我手里大半个月了,还不如放出来让大家一起进步算了。另外都是取之看雪还之看雪罢了。
索性我也就公布一个全套的方案。绝无其他意思,所以还请同道中人嘴下留情。切勿背地使坏!

        在正式开篇之前我要感谢看雪ID:十年寒窗 在我最困惑的时候,他给予了最大的帮助!另外还有一位和我同岁的神秘人物也给予了不小的帮助,感谢你们。

        废话了半天,正式开始吧。
tmd_TP也就是国内比较流行的游戏D_N*F的游戏保护。
它在ring0层一共HOOK了几个地方和一些其他的工作。来达到保护的目的
下面是简报:

NtOpenThread //防止调试器在它体内创建线程
NtOpenProcess //防止OD等在进程列表看到它
KiAttachProcess //防止其他软件附加它
NtReadVirtualMemory //防止别人读取它的内存
NtWriteVirtualMemory //防止别人在它的内存里面乱写乱画
KDCOM.dll:KdReceivePacket //这两个是COM串口的接受和发送数据
KDCOM.dll:KdSendPacket //主要用来方式别人双机调试

使用了KdDisableDebugger来禁用双机调试
.text:010025F0                 jz      short loc_1002622
.text:010025F2                 call    sub_10022A4
.text:010025F7                 call    ds:[COLOR=magenta]KdDisableDebugger
.text:010025FD                 push    offset byte_10022EC
.text:01002602                 push    esi
.text:01002603                 push    offset byte_10022DC
.text:01002608                 push    edi
.text:01002609                 push    dword_100CF24


并对debugport进行了疯狂的清零操作
甚至还包括EPROCESS+70\+74\+78等几处位置


处理的手段通常都是向64端口写入FE导致计算机被重启
.text:01001665                 mov     al, 0FEh
.text:01001667                 out     64h, al         ; AT Keyboard controller 8042.
.text:01001667                                         ; Resend the last transmission
.text:01001669                 popa
.text:0100166A                 retn


下面简单看下他关键的几个HOOK:
KiAttachProcess   


NtReadVirtualMemory  


NtWriteVirtualMemory  


NtOpenThread


NtOpenProcess



其中,前3个直接恢复即可。
第4个有监视,直接恢复即刻重启
第5个和ring3有通信,直接恢复1分钟内SX非法模块


根据上面的分析,下面给出相应的解决方案
1.直接恢复 第1、2、3处HOOK
2.绕过4、5处HOOK
3.将debugport清零的内核线程干掉
4.恢复硬件断点
但是要有一个先后的逻辑顺序
因为内核有一个线程负责监视几个地方,必须要先干掉它。
但是这个内容我写在了处理debugport清零的一起,也就是第3步。所以大家在照搬源码的时候
注意代码执行次序

先从简单的工作讲起,恢复1、2、3处的HOOK
KiAttachProcess的处理
//////////////////////////////////////////////////////////////////////
//  名称:  Nakd_KiAttachProcess
//  功能:  My_RecoveryHook_KiAttachProcess的中继函数
//  参数:  
//  返回:  
//////////////////////////////////////////////////////////////////////
static NAKED VOID  Nakd_KiAttachProcess()
{
  __asm
  {
    mov     edi,edi
    push    ebp
    mov     ebp,esp
    push    ebx
    push    esi
    mov    eax,KiAttachProcessAddress  //注意这个是全局变量 BYTE*
    add    eax,7
    jmp    eax
  }
}
//////////////////////////////////////////////////////////////////////
//  名称:  RecoveryHook_KiAttachProcess
//  功能:  解除游戏保护对_KiAttachProcess函数的HOOK(DNF)
//  参数:  
//  返回:  状态
//////////////////////////////////////////////////////////////////////
NTSTATUS My_RecoveryHook_KiAttachProcess()
{
  BYTE    *KeAttachProcessAddress = NULL;  //KeAttachProcess函数地址
  BYTE    *p;
  BYTE    MovEaxAddress[5]  = {0xB8,0,0,0,0};  //
  BYTE    JmpEax[2]      = {0xff,0xe0};
  KIRQL    Irql;
  //特征码
  BYTE  Signature1 = 0x56,  //p-1
      Signature2 = 0x57,  //p-2
      Signature3 = 0x5F,  //p-3
      Signature4 = 0x5E,  //p+5
      Signature5 = 0xE8;  //p第一个字节
 
  //获得KeAttachProcess地址,然后通过特征码找到
  //KiAttachProcess的地址
  KeAttachProcessAddress = (BYTE*)MyGetFunAddress(L"KeAttachProcess");
  if (KeAttachProcessAddress == NULL)
  {
    KdPrint(("KeAttachProcess地址获取失败\n"));
    return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
  }
  //将p指向KeAttachProcess函数开始处
  p = KeAttachProcessAddress;
  while (1)
  {
    if ((*(p-1) == Signature1) &&
      (*(p-2) == Signature2) &&
      (*(p+5) == Signature3) &&
      (*(p+6) == Signature4) &&
      (*p    == Signature5))
    {
      //定位成功后取地址
      KiAttachProcessAddress = *(PULONG)(p+1)+(ULONG)(p+5);
      break;
    }
 
    //推动指针
    p++;
  }
 
  //计算中继函数地址
  *(ULONG *)(MovEaxAddress+1)=(ULONG)Nakd_KiAttachProcess;
 
  WPOFF();  //清除CR0
  //提升IRQL中断级
  Irql=KeRaiseIrqlToDpcLevel();
  //写入
  RtlCopyMemory(KiAttachProcessAddress,MovEaxAddress,5);
  RtlCopyMemory(KiAttachProcessAddress+5,JmpEax,2);
  //恢复Irql
  KeLowerIrql(Irql);
  WPON();    //恢复CR0
 
  return  STATUS_SUCCESS;
}


NtReadVirtualMemory和
NtWriteVirtualMemory的处理
注意这里,我对他们俩开头的第2句PUSH的处理
我直接写入了push 0x78563412
大家可以根据自己的地址来硬编码一次。
或者干脆这样使用
//////////////////////////////////////////////////////////////////////
//  名称:  My_RecoveryHook_NtReadAndWriteMemory
//  功能:  解除游戏保护对NtReadVirtualMemory和
//      NtWriteVirtualMemory的HOOK
//  参数:  
//  返回:  
//////////////////////////////////////////////////////////////////////
NTSTATUS My_RecoveryHook_NtReadAndWriteMemory()
{
  BYTE  Push1Ch[2]  = {0x6a,0x1c};  //0~2字节
  BYTE  PushAdd[5]  = {0x68,0x12,0x34,0x56,0x78};  //NtReadVirtualMemory[物理机]
  //BYTE  PushAdd2[5]  = {0x68,0xf0,0x6f,0x4f,0x80};  //NtWriteVirtualMemory[物理机]
  KIRQL  Irql;
  BYTE  *NtReadVirtualMemoryAddress    = NULL;  //NtReadVirtualMemory的地址
  BYTE  *NtWriteVirtualMemoryAddress  = NULL;  //NtWriteVirtualMemory的地址
 
  //从SSDT表中获取NtReadVirtualMemory函数地址
  NtReadVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0xBA);
  if (NtReadVirtualMemoryAddress == NULL)
  {
    KdPrint(("NtReadVirtualMemory函数地址获取失败! \n"));
    return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
  }
  //从SSDT表中获取NtWriteVirtualMemory函数地址
  NtWriteVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0x115);
  if (NtWriteVirtualMemoryAddress == NULL)
  {
    KdPrint(("NtWriteVirtualMemory函数地址获取失败! \n"));
    return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
  }
 
  WPOFF();  //清除CR0
  //提升IRQL中断级
  Irql=KeRaiseIrqlToDpcLevel();
  //写入
  RtlCopyMemory(NtReadVirtualMemoryAddress,Push1Ch,2);
  RtlCopyMemory(NtReadVirtualMemoryAddress+2,PushAdd,5);
 
  RtlCopyMemory(NtWriteVirtualMemoryAddress,Push1Ch,2);
  RtlCopyMemory(NtWriteVirtualMemoryAddress+2,PushAdd,5);
  //恢复Irql
  KeLowerIrql(Irql);
  WPON();    //恢复CR0
 
  return  STATUS_SUCCESS;
}


好了,下面来处理
NtOpenProcess和
NtOpenThread
这两个函数的处理上不能太鲁莽了。
手法要风骚一点细腻一点了
介于篇幅的原因,我只贴出来前者的处理方法,后者雷同
细微之处大家自行修改。我总不能真的给你方法又给你工具。眼看着自己变成教唆犯
//NtOpenProcess用到的全局变量[为了方便堆栈平衡的处理使用全局变量]
PEPROCESS  processEPROCESS = NULL;  //保存访问者的EPROCESS
ANSI_STRING  p_str1,p_str2;      //保存进程名称
BYTE    *ObOpenObjectByPointerAddress  = NULL; //ObOpenObjectByPointer的地址
BYTE    *p_TpHookAddress = NULL;        //TP的HOOK函数地址
BYTE    *p_ReturnAddress = NULL;        //返回到的地址
BYTE    *p_MyHookAddress = NULL;        //我们的HOOK函数在哪写入
#define DNF_EXE  "DNF.exe"  //要检索的进程名
//////////////////////////////////////////////////////////////////////
//  名称:  Nakd_NtOpenProcess
//  功能:  My_RecoveryHook_NtOpenProcess的中继函数
//  参数:  
//  返回:  
//////////////////////////////////////////////////////////////////////
static NAKED VOID  Nakd_NtOpenProcess()
{
  //获得调用者的EPROCESS
  processEPROCESS = IoGetCurrentProcess();
  //将调用者的进程名保存到str1中
  RtlInitAnsiString(&p_str1,(ULONG)processEPROCESS+0x174);
  //将我们要比对的进程名放入str2
  RtlInitAnsiString(&p_str2,DNF_EXE);
  if (RtlCompareString(&p_str1,&p_str2,TRUE) == 0)
  {
    //说明是DNF进程访问了这里
    __asm
    {
      push    dword ptr [ebp-38h]
      push    dword ptr [ebp-24h]
      push  p_ReturnAddress
      mov    eax,p_TpHookAddress
      jmp    eax
    }
  }
  else
  {
    __asm
    {
      push    dword ptr [ebp-38h]
      push    dword ptr [ebp-24h]
      push  p_ReturnAddress
      mov    eax,ObOpenObjectByPointerAddress
      jmp    eax
    }
  }
}
 
//////////////////////////////////////////////////////////////////////
//  名称:  My_RecoveryHook_NtOpenProcess
//  功能:  解除游戏保护对NtOpenProcess的HOOK
//  参数:  
//  返回:  状态
//////////////////////////////////////////////////////////////////////
NTSTATUS My_RecoveryHook_NtOpenProcess()
{
  BYTE    *NtOpenProcessAddress      = NULL;  //NtOpenProcess的地址
  BYTE    *p = NULL;      //临时
  TOP5CODE  *top5code = NULL;  //保存5字节内容
  BYTE    JmpAddress[6] = {0xE9,0,0,0,0,0x90};
  KIRQL    Irql;
 
    //获取NtOpenProcess的地址
    NtOpenProcessAddress = (BYTE*)MyGetFunAddress(L"NtOpenProcess");
    if (NtOpenProcessAddress == NULL)
    {
      KdPrint(("NtOpenProcess地址获取失败\n"));
      return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
    }
    //获取ObOpenObjectByPointer的地址
    ObOpenObjectByPointerAddress = (BYTE*)MyGetFunAddress(L"ObOpenObjectByPointer");
    if (ObOpenObjectByPointerAddress == NULL)
    {
      KdPrint(("ObOpenObjectByPointer地址获取失败\n"));
      return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
    }
 
    //将p指向NtOpenProcess函数开始处
    p = NtOpenProcessAddress;
    //用一个无限循环来判断给定的特征码来确定被HOOK位置
    while (1)
    {
      if ((*(p-7)    == 0x50) && 
        (*(p-0xE)  == 0x56) &&
        (*(p+0xd)  == 0x50) &&
        (*(p+0x16)  == 0x3b) &&
        (*(p+0x17)  == 0xce) &&
        (*p      == 0xE8) &&
        (*(p+5)    == 0x8b) &&
        (*(p+6)    == 0xf8))
      {
        KdPrint(("%0X \n",(ULONG)p));
        break;
      }
      //推动指针向前走
      p++;
    }
 
    //将top5code指向 p 的当前处
    //用以取出 call [地址] 这5字节里面的地址
    top5code = (TOP5CODE*)p;
    p_TpHookAddress = (BYTE*)((ULONG)p+5+top5code->address);
 
    //找到我们写入自定义函数的地址
    p_MyHookAddress = p-6;
    //保存调用ObOpenObjectByPointer函数以后的返回地址
    p_ReturnAddress = p+5;
 
    //将一条JMP Nakd_NtOpenProcess写入到数组中
    *(ULONG *)(JmpAddress+1)=(ULONG)Nakd_NtOpenProcess - ((ULONG)p_MyHookAddress+5);
 
    WPOFF();  //清除CR0
    //提升IRQL中断级
    Irql=KeRaiseIrqlToDpcLevel();
    //写入
    RtlCopyMemory(p_MyHookAddress,JmpAddress,6);
    //恢复Irql
    KeLowerIrql(Irql);
    WPON();    //恢复CR0
  
  return  STATUS_SUCCESS;
}

处理之后:

简而言之其原理就是,任何人调用了NtOpenProcess的时候会先进入
Nakd_NtOpenProcess函数,我们判断。如果是游戏进程访问的话,就有可能是验证之类的
我们转到它自己的函数里面。让它保持与ring3层的通信。否则的话,嘿嘿……

接下来是第3步处理debugport清零的这块了。
我想绝大多数人关心的都是这里了
网络上能搜多到的办法几乎都失效了
有办法的人又不肯放出来,急眼了就自己想了个土办法
虽然不那么时尚。但是绝对的奏效。
由于代码凌乱不堪,简单说下其原理。
我们定位内核模块TxxxSxxx.sys的首地址
然后根据特征码遍历整个模块找到我们需要的地方,然后干掉他们。
那么我们又如何能够通过人工的判断出来到底是哪里在作怪呢
利用syser或Start SoftICE对EPROCESS+BC处设置断点。就可以一层一层的追溯上去了
到底如何用他们,我想大家自己多花点时间在看雪和GOOGLE或者BAIDU上面是不会吃亏的。
由于ZwQuerySystemInformation函数的使用非常繁琐。而且篇幅有限。所以我只给出关键代码,至于这个函数如何使用。大家可以自己在搜索引擎找“枚举内核模块”
//////////////////////////////////////////////////////////////////////
//  名称:  MyEnumKernelModule
//  功能:  枚举内核模块
//  参数:  str:内核模块名称
//      moduleadd:该模块地址[传出]
//      modulesie:该模块大小[传出]
//  返回:  
//////////////////////////////////////////////////////////////////////
NTSTATUS MyEnumKernelModule(IN CHAR* str,OUT ULONG *moduleadd,OUT ULONG *modulesie)
{
  NTSTATUS status = STATUS_SUCCESS;
  ULONG   n       = 0;
  ULONG   i       = 0;
  PSYSTEM_MODULE_INFORMATION_ENTRY   module = NULL;
  PVOID   pbuftmp = NULL;
  ANSI_STRING    ModuleName1,ModuleName2;
  BOOLEAN  tlgstst= FALSE;  //如果找到了指定模块则设置为TRUE
 
  //利用11号功能枚举内核模块
  status = ZwQuerySystemInformation(11, &n, 0, &n);
 
  //申请内存
  pbuftmp = ExAllocatePool(NonPagedPool, n);
 
  //再次执行,将枚举结果放到指定的内存区域
  status = ZwQuerySystemInformation(11, pbuftmp, n, NULL);
 
  module = (PSYSTEM_MODULE_INFORMATION_ENTRY)((PULONG )pbuftmp + 1 );
 
  //初始化字符串 
  RtlInitAnsiString(&ModuleName1,str);
  //
  n       = *((PULONG)pbuftmp );
  for ( i = 0; i < n; i++ )
  {
    RtlInitAnsiString(&ModuleName2,&module[i].ImageName);
    //DbgPrint("%d\t0x%08X 0x%08X %s\n",module[i].LoadOrderIndex,module[i].Base,module[i].Size,module[i].ImageName);
 
    if (RtlCompareString(&ModuleName1,&ModuleName2,TRUE) == 0)
    {
      DbgPrint("MyEnumKernelModule:%s:%0X \n",ModuleName2.Buffer,module[i].Base);
      *moduleadd  = module[i].Base;
      *modulesie  = module[i].Size;
      tlgstst = TRUE;
      break;
    }
  }
  ExFreePool(pbuftmp);
  if tlgstst == FALSE)
  {
    return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
  }
  return status;
}
 
//////////////////////////////////////////////////////////////////////
//  名称:  My_Recovery_Debugport
//  功能:  恢复游戏对debugport的清零操作
//  参数:  
//  返回:  
//////////////////////////////////////////////////////////////////////
NTSTATUS My_Recovery_Debugport()
{
  NTSTATUS stats;
  BYTE  *sd1 = NULL,*sd2 = NULL,*pd = NULL;
  ULONG  ModuleSize,ModuleAddress,i,number = 0;
  BYTE  *p;
  KIRQL  Irql;
  BYTE  C390[2] = {0xc3,0x90};
 
  //获取指定的内核模块地址和字节数
  stats = MyEnumKernelModule("\\??\\c:\\windows\\system32\\tessafe.sys",&ModuleAddress,&ModuleSize);
  if (stats == FAILED_TO_OBTAIN_FUNCTION_ADDRESSES)
  {
    return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
  }
  KdPrint(("Address:%0X Sie:%d \n",ModuleAddress,ModuleSize));
  //特征码
  /*  sd1特征
  p-1:18 p-2:87 p-3:DB p-4:33 p-5:07 
  p-6:03 p  :33 p+1:C0 p+7:3B p+8:D8
    sd2特征
  p-1:07 p-2:87 p-3:c0 p-4:33 p+14:89
  p+15:1c p+16:38
  */
 
  //将P指向内核模块开始处
  p = (BYTE*)ModuleAddress + 20;
  for (i = 0; i < ModuleSize - 20; i++,p++)
  {
    //sd1
    if ((*(p-1) == 0x18) &&
      (*(p-2) == 0x87) &&
      (*(p-3) == 0xDB) &&
      (*(p-4) == 0x33) &&
      (*(p-5) == 0x07) &&
      (*(p-6) == 0x03) &&
      (*p    == 0x33) &&
      (*(p+1) == 0xC0) &&
      (*(p+7) == 0x3B) &&
      (*(p+8) == 0xD8) )
    {
      KdPrint(("--SD1 -- %0X \n",(ULONG)p));
      sd1 = p;
      number+=1;  //记录已经获取一个特征
    }
    //sd2
    if ((*(p-1) == 0x07) &&
      (*(p-2) == 0x87) &&
      (*(p-3) == 0xC0) &&
      (*(p-4) == 0x33) &&
      (*(p+14)== 0x89) &&
      (*(p+15)== 0x1C) &&
      (*(p+16)== 0x38) &&
      (*p    == 0xA1))
    {
      KdPrint(("--SD2 -- %0X \n",(ULONG)p));
      sd2 = p;
      number+=1;  //记录已经获取一个特征
    }
    //pd
    if ((*(p-2) == 0xE3) &&
      (*(p-3) == 0xC1) &&
      (*(p-7) == 0xF3) &&
      (*(p-8) == 0x33) &&
      (*(p-10)== 0xEB) &&
      (*(p-11)== 0xC1) &&
      (*(p+1) == 0xF3) &&
      (*(p+2) == 0x42) &&
      (*(p+3) == 0x3B) &&
      (*(p+4) == 0xD1) &&
      (*p    == 0x33))
    {
      KdPrint(("--PD -- %0X \n",(ULONG)p));
      pd = p;
      number+=1;  //记录已经获取一个特征
    }
    if (number >= 3)
    {
      KdPrint(("特征 %d ---退出\n",number));
      break;
    }
  }
 
  //首先干掉监视函数
  while (1)
  {
    if ((*(pd-1) == 0xcc) && (*(pd-2) == 0xcc))
    {
      KdPrint(("pd首地址:%0X \n",(ULONG)pd));
      WPOFF();  //清除CR0
      //提升IRQL中断级
      Irql=KeRaiseIrqlToDpcLevel();
      //写入
      RtlCopyMemory(pd,C390,2);
      //恢复Irql
      KeLowerIrql(Irql);
      WPON();    //恢复CR0
      break;
    }
    pd--;
  }
  //干掉2个SD
  while (1)
  {
    if ((*(sd1-1) == 0xcc) && (*(sd1-2) == 0xcc))
    {
      KdPrint(("sd1首地址:%0X \n",(ULONG)sd1));
      WPOFF();  //清除CR0
      //提升IRQL中断级
      Irql=KeRaiseIrqlToDpcLevel();
      //写入
      RtlCopyMemory(sd1,C390,2);
      //恢复Irql
      KeLowerIrql(Irql);
      WPON();    //恢复CR0
      break;
    }
    sd1--;
  }
  while (1)
  {
    if ((*(sd2-1) == 0xcc) && (*(sd2-2) == 0xcc))
    {
      KdPrint(("sd2首地址:%0X \n",(ULONG)sd2));
      WPOFF();  //清除CR0
      //提升IRQL中断级
      Irql=KeRaiseIrqlToDpcLevel();
      //写入
      RtlCopyMemory(sd2,C390,2);
      //恢复Irql
      KeLowerIrql(Irql);
      WPON();    //恢复CR0
      break;
    }
    sd2--;
  }
 
  return  STATUS_SUCCESS;
}
 


最后,处理一下硬件断点就可以了
这里我们使用到了SSDT HOOK
分别HOOK了 SSDT 表中索引为 0xD5和0x55的函数。由于这里比较简单
我想10个人有9个人懂得SSDT HOOK的。所以直接给出源码,不做原理分析了
//处理硬件断点时
ULONG    uNtSetContextThreadAddress;
ULONG    uNtGetContextThreadAddress;
ULONG    TenNtSetContextThread, 
      TenNtGetContextThread;
//////////////////////////////////////////////////////////////////////
//  名称:  _MyNtGetThreadContext
//  功能:  两个SSDT HOOK伪造函数的中继函数
//  参数:  
//  返回:  
//////////////////////////////////////////////////////////////////////
static NAKED NTSTATUS Nakd_NtGetThreadContext(HANDLE hThread, PCONTEXT pContext)
{
  __asm
  {
    jmp    dword ptr[TenNtGetContextThread]
  }
}
 
static NAKED NTSTATUS Nakd_NtSetThreadContext(HANDLE hThread, PCONTEXT pContext)
{
  __asm
  {
    jmp    dword ptr[TenNtSetContextThread]
  }
}
//////////////////////////////////////////////////////////////////////
//  名称:  MyNtGetThreadContext && MyNtSetThreadContext
//  功能:  NtGetThreadContext与NtSetThreadContext函数被SSDT HOOK的伪造函数
//  参数:  
//  返回:  
//////////////////////////////////////////////////////////////////////
NTSTATUS MyNtGetThreadContext(HANDLE hThread, PCONTEXT pContext)
{
  if ( _stricmp((const char*)PsGetProcessImageFileName(PsGetCurrentProcess()),DNF_EXE) )
  {
    return Nakd_NtGetThreadContext(hThread, pContext);
  }
  return STATUS_UNSUCCESSFUL;
}
 
 
NTSTATUS MyNtSetThreadContext(HANDLE hThread, PCONTEXT pContext)
{
  if ( _stricmp((const char*)PsGetProcessImageFileName(PsGetCurrentProcess()),DNF_EXE) )
  {
    return Nakd_NtSetThreadContext(hThread, pContext); 
  }
  //DbgPrint("Dr7:%08X\n", pContext->Dr7);
  if ( pContext->Dr7 == 0x101 )
  {
    return Nakd_NtSetThreadContext(hThread, pContext); 
  }
  return STATUS_UNSUCCESSFUL; 
}
 
//////////////////////////////////////////////////////////////////////
//  名称:  My_Recovery_HardwareBreakpoint
//  功能:  通过对set与get进行SSDT HOOK来恢复硬件断点
//  参数:  
//  返回:  
//////////////////////////////////////////////////////////////////////
NTSTATUS My_Recovery_HardwareBreakpoint()
{
  KIRQL    Irql;
  //获取地址
  uNtSetContextThreadAddress = (ULONG)KeServiceDescriptorTable->ServiceTableBase+0xD5 * 4;
  uNtGetContextThreadAddress = (ULONG)KeServiceDescriptorTable->ServiceTableBase+0x55 * 4;
 
  TenNtSetContextThread = *(ULONG*)uNtSetContextThreadAddress;
  TenNtGetContextThread = *(ULONG*)uNtGetContextThreadAddress;
 
  KdPrint(("Set地址:%0X\n",TenNtSetContextThread));
  KdPrint(("Get地址:%0X\n",TenNtGetContextThread));
 
  KdPrint(("Process:%0X \n",(ULONG)p_MyHookAddress));
  KdPrint(("Thread:%0X \n",(ULONG)t_MyHookAddress));
 
  WPOFF();  //清除CR0
  //提升IRQL中断级
  Irql=KeRaiseIrqlToDpcLevel();
 
  //完成SSDT HOOK
  *(ULONG*)uNtGetContextThreadAddress = (ULONG)MyNtGetThreadContext;
  *(ULONG*)uNtSetContextThreadAddress = (ULONG)MyNtSetThreadContext;
 
  //恢复Irql
  KeLowerIrql(Irql);
  WPON();    //恢复CR0
 
  return STATUS_UNSUCCESSFUL; 
}


另外还有一些功能型的函数一并给出,省的大家迷糊
我也算服务到位了,再看上面代码迷糊的时候。看这里找找
看看有没有能用到的,或者翻一下我以往的帖子。里面应该有
//保存5字节代码的结构
#pragma pack(1)
typedef struct _TOP5CODE
{
  UCHAR  instruction;  //指令
  ULONG  address;    //地址
}TOP5CODE,*PTOP5CODE;
#pragma pack( )
 
//ssdt表结构
typedef struct _ServiceDescriptorTable {
  PVOID ServiceTableBase;    //System Service Dispatch Table 的基地址  
  PVOID ServiceCounterTable;
  //包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysenter 更新。 
  unsigned int NumberOfServices;//由 ServiceTableBase 描述的服务的数目。  
  PVOID ParamTableBase; //包含每个系统服务参数字节数表的基地址-系统服务参数表 
}*PServiceDescriptorTable;
//由SSDT索引号获取当前函数地址
//NtOpenProcess  [[KeServiceDescriptorTable]+0x7A*4]
extern PServiceDescriptorTable KeServiceDescriptorTable;
 
//////////////////////////////////////////////////////////////////////
//  名称:  MyGetFunAddress
//  功能:  获取函数地址
//  参数:  函数名称字符串指针
//  返回:  函数地址
//////////////////////////////////////////////////////////////////////
ULONG MyGetFunAddress( IN PCWSTR FunctionName)
{
  UNICODE_STRING UniCodeFunctionName;
  RtlInitUnicodeString( &UniCodeFunctionName, FunctionName );
  return (ULONG)MmGetSystemRoutineAddress( &UniCodeFunctionName );   
}
 
//////////////////////////////////////////////////////////////////////
//  名称:  myGetCurrentAddress
//  功能:  获取SSDT表中指定函数的当前地址
//  参数:  index:指定函数在表中的索引号
//  返回:  地址
//////////////////////////////////////////////////////////////////////
ULONG myGetCurrentAddress(IN ULONG index)
{
  ULONG    SSDT_Cur_Addr;
  __asm
  {
    push  ebx
    push  eax
    mov    ebx,KeServiceDescriptorTable
    mov    ebx,[ebx]
    mov    eax,index
    shl    eax,2
    add    ebx,eax
    mov    ebx,[ebx]
    mov    SSDT_Cur_Addr,ebx
    pop    eax
    pop    ebx
  }
 
  return  SSDT_Cur_Addr;
}
 
VOID WPOFF()
{
  __asm
  {
    cli
    mov eax,cr0
    and eax,not 10000h
    mov cr0,eax
  }
}
 
VOID WPON()
{
  __asm
  {
    mov eax,cr0
    or eax,10000h
    mov cr0,eax
    sti
  }
}
 


记在最后面的话:大家要善用搜索引擎(建议学习google hacking技巧),勤做笔记,最后要说的依然是感谢,感谢GOOGLE\BAIDU\PEDIY\DEBUGMAN。还有那些默默发帖的人~

如果有时间的话,我会将其他几个游戏保护的分析资料也放出来
什么GPK\HP\HS的。大家不要催不要急,一定会放出来的。等到我觉得这些东西都没有挑战性的时候那么也就不会再有资料陆续放出来了……
如果有好东西记得与我分享哈

[公告]第4届看雪技术峰会2020年10月23日上海浦东喜来登由由大酒店召开!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (235)
雪    币: 74
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
风卷Wind 活跃值 1 2010-12-20 03:14
2
0
技术帖果断顶,crazyearl居然和我一样到现在没睡,支持继续放出其他游戏保护的研究,话说也只有游戏研究是比较带劲的~~
雪    币: 284
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jerrynpc 活跃值 2010-12-20 07:48
3
0
TP没啥意思吖,搞下HP
雪    币: 2121
活跃值: 活跃值 (97)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
shuichon 活跃值 2010-12-20 08:27
4
0
小菜路过,看不懂,

但还是要顶一下,毕竟都这么晚还不睡,LZ辛苦了
雪    币: 5983
活跃值: 活跃值 (109)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
傷遺忘 活跃值 2010-12-20 08:30
5
0
其实事情也许可以简单一点...
学习了.谢谢楼主热情分享
雪    币: 346
活跃值: 活跃值 (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
高军 活跃值 2010-12-20 08:36
6
0
好东西,留个脚印。
雪    币: 48
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wmfeel 活跃值 2010-12-20 08:47
7
0
;MARK一下,TP。
雪    币: 244
活跃值: 活跃值 (16)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
hellotong 活跃值 1 2010-12-20 09:14
8
0
谢谢楼主分享!!!!!
雪    币: 79
活跃值: 活跃值 (50)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
frozenrain 活跃值 2010-12-20 09:15
9
0
搞游戏的人真多。Mark一下。
雪    币: 1071
活跃值: 活跃值 (65)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ttstation 活跃值 2010-12-20 09:26
10
0
TP感觉就是山寨NP,HS的,不过山寨的不错了,感觉NP保护也就是多个R3注入、R0断链
雪    币: 104
活跃值: 活跃值 (82)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Fido 活跃值 2010-12-20 10:15
11
0
MARK...............牛X.........
雪    币: 40
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
aliuwr 活跃值 2010-12-20 10:31
12
0
技术贴,要顶
雪    币: 232
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
dlmu 活跃值 1 2010-12-20 10:31
13
0
诸位都是牛人~
雪    币: 196
活跃值: 活跃值 (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
十年寒窗 活跃值 2010-12-20 10:34
14
0
Mark学习。。。
想学习下HS和NP。。
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
丛丛千里 活跃值 2010-12-20 10:35
15
0
要是能有破解的过程就好了,最难学的不是结果,而是过程
雪    币: 321
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
nevsayno 活跃值 2010-12-20 13:25
16
0
特来支持123456
雪    币: 2
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zzpjszp 活跃值 2010-12-20 13:58
17
0
楼主辛苦了 感谢分享
雪    币: 281
活跃值: 活跃值 (10)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
kkmylove 活跃值 2 2010-12-20 16:36
18
0
这个要好好学习一下  很多相关的基础知识都不够 !!
雪    币: 71
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mumaren 活跃值 2010-12-20 17:46
19
0
技术贴,要顶
雪    币: 25
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
overdb 活跃值 2010-12-20 18:48
20
0
游戏保护 没撒玩的~
雪    币: 45
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
vfer 活跃值 2010-12-20 21:11
21
0
這種浮雲一般的保護 在AGP的淫威下  跟捅紙一樣的簡單
雪    币: 108
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Bennn 活跃值 2010-12-20 22:38
22
0
顶!!!!!!!很早我就是CE能附加!!!!!端口清0搞不定!!!!!后来代码放那一直没动!!!现在再来完善下!!!不过代码都放这呢!!!TX人也能看到啊!!!但愿不要更新太快!!!
雪    币: 247
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hufo 活跃值 2010-12-21 10:32
23
0
支持 下
呵呵 玩游戏得人就是多啊
雪    币: 240
活跃值: 活跃值 (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
斩天 活跃值 2010-12-21 10:58
24
0
那么好的文章,受益匪浅,楼主辛苦了~~
雪    币: 336
活跃值: 活跃值 (10)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
microdebug 活跃值 6 2010-12-21 11:31
25
0
support
雪    币: 108
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Bennn 活跃值 2010-12-21 17:34
26
0
脱裤子都脱上瘾了?
雪    币: 501
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
SueMoon 活跃值 1 2010-12-21 21:28
27
0
呵呵过掉TP的debugport清0只需要一字节即可,其实一字节都多了,只需要一位即可~~~
openprocess/thread有检测,他的检测在很多处~ 比如workItem~ 这2天搞了下,驱动基本都给我搞定了~
就是那个openprocess一搞就报非法,不知道他的检测原理是什么,楼主说r3? 为什么他自己调用就要进入它的处理, 我本来一位他是io控制里做的检测,原来是自己的open力做了手脚,不过还不清楚具体的原理。
找一起交流和研究的人 qq  1138322792
雪    币: 277
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
leitianjun 活跃值 2010-12-21 21:34
28
0
顶了!!MARK!!!
雪    币: 501
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
SueMoon 活跃值 1 2010-12-21 21:45
29
0
搞定它所有的hook检测和debugport清0只需要2字节+1位即可~~
除了那个openprocess还没知道原理,不知道特殊处理在哪里,过会去调下~~
雪    币: 579
活跃值: 活跃值 (32)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
RootSuLe 活跃值 4 2010-12-21 21:47
30
0
楼主已被监视
雪    币: 29
活跃值: 活跃值 (13)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
君君寒 活跃值 2010-12-22 00:25
31
0
游戏保护都没意思了
雪    币: 283
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
upant 活跃值 2010-12-22 01:51
32
0
果然火啊。。。
雪    币: 19
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
青鸾月暖 活跃值 2010-12-22 09:10
33
0
如果有时间的话,我会将其他几个游戏保护的分析资料也放出来
什么GPK\HP\HS的。

MARK下~ 记住大牛这句话~
雪    币: 5
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zgyknight 活跃值 2010-12-22 09:24
34
0
楼主能分享技术 膜拜一下

先顶再看!
雪    币: 303
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
痞子辉 活跃值 1 2010-12-22 10:23
35
0
TP又一次被暴菊花了。。。。
雪    币: 789
活跃值: 活跃值 (139)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
kagayaki 活跃值 2010-12-22 10:45
36
0
不错............
雪    币: 229
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hymm2003 活跃值 2010-12-22 11:20
37
0
学习一下。。。。
雪    币: 114
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
rockcat 活跃值 2010-12-22 11:30
38
0
收藏,学习,这个东西,很郁闷,一直卡在调试那儿
雪    币: 154
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
leeonegor 活跃值 2010-12-22 12:26
39
0
强帖名必留
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xmlwww 活跃值 2010-12-22 14:20
40
0
强帖名必留
雪    币: 80
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hardful 活跃值 2010-12-23 01:10
41
0
mark.学习
雪    币: 129
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
雪yaojun 活跃值 2010-12-23 01:14
42
0
支持,,希望有后续
雪    币: 129
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
雪yaojun 活跃值 2010-12-23 01:36
43
0
看完了继续顶一遍,太精菜了。。。
雪    币: 383
活跃值: 活跃值 (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
无言无悔 活跃值 2010-12-23 10:46
44
0
这个必须支持。。。
雪    币: 202
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
北欧odin 活跃值 2010-12-24 01:10
45
0
看完 豁然开朗···········
雪    币: 305
活跃值: 活跃值 (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jinyh 活跃值 2010-12-24 09:03
46
0
不得不承认,楼主很NB
你是偶象!!!!
雪    币: 1475
活跃值: 活跃值 (21)
能力值: ( LV15,RANK:670 )
在线值:
发帖
回帖
粉丝
cntrump 活跃值 13 2010-12-24 12:30
47
0
已经被拿来做坏事了,怎么办?
雪    币: 2514
活跃值: 活跃值 (107)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Crakme 活跃值 2010-12-24 13:34
48
0
TX应该要有所动作了~~
雪    币: 223
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dywenwen 活跃值 2010-12-24 15:51
49
0
收藏转载,谢谢提供!!
雪    币: 2206
活跃值: 活跃值 (112)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ldljlzw 活跃值 2010-12-24 18:32
50
0
好!继续!!
游客
登录 | 注册 方可回帖
返回