首页
论坛
课程
招聘
雪    币: 830
活跃值: 活跃值 (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝

[商业保护] [求助]某个游戏的三环反调试,附加检测原理请教

2019-6-24 17:23 3315

[商业保护] [求助]某个游戏的三环反调试,附加检测原理请教

2019-6-24 17:23
3315
某某粉游戏的三环反调试保护,内核层保护已经处理完了。
CE可以读数据
x32dbg附加的时候远程断点创建的线程会抛出一个内核地址的c000005异常,如果忽略则退出游戏。如下图:


DbgUiRemoteBreakin函数的钩子已经恢复。
猜测可能是游戏HOOK了线程在三环的落脚点函数,但是通过栈帧往上找,最多找到这个函数:

用其他进程测试,这个函数无论是被附加或者是脱离都会被调用。
于是在这个函数头写入int3后附加游戏,但是一样断不下来。
猜测这并不是线程的落脚点函数,但是实在不知道怎么找了~
各路大佬走过路过帮忙指点下,感激不尽~





2020,给你一个诚意满满的夏令营!

最新回复 (11)
雪    币: 1889
活跃值: 活跃值 (91)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
柒雪天尚 活跃值 2019-6-24 17:30
2
0
所以,某些论坛被封了,就跑到这里来瞎搞了吗
雪    币: 1889
活跃值: 活跃值 (91)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
柒雪天尚 活跃值 2019-6-24 17:30
3
0
所以,某些论坛被封了,就跑到这里来瞎搞了吗
雪    币: 830
活跃值: 活跃值 (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
洛臻 活跃值 2019-6-24 17:33
4
0
柒雪天尚 所以,某些论坛被封了,就跑到这里来瞎搞了吗
会说话就多说点,要不你就出本书。我瞎搞什么了?
雪    币: 678
活跃值: 活跃值 (171)
能力值: ( LV13,RANK:390 )
在线值:
发帖
回帖
粉丝
xiaofu 活跃值 8 2019-6-24 17:55
5
0

把调试器干掉
雪    币: 830
活跃值: 活跃值 (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
洛臻 活跃值 2019-6-24 18:01
6
0
xiaofu 把调试器干掉
这是恢复DbgUiRemoteBreakin函数的代码把,这个函数我用PC Hunter恢复了,但是也会被检测。干掉调试器是啥意思啊
雪    币: 678
活跃值: 活跃值 (171)
能力值: ( LV13,RANK:390 )
在线值:
发帖
回帖
粉丝
xiaofu 活跃值 8 2019-6-24 18:11
7
0
你看仔细点这个函数
雪    币: 830
活跃值: 活跃值 (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
洛臻 活跃值 2019-6-24 21:07
8
0
xiaofu 你看仔细点这个函数
像eax写入1返回么。现在代码根本执行不到DbgUiRemoteBreakin这个函数,在到这个函数之前就被HOOK了。抛出一个异常后运行就退出游戏了。
雪    币: 36
活跃值: 活跃值 (41)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
vaguem 活跃值 2019-6-25 08:06
9
0
xiaofu 你看仔细点这个函数
哈哈哈,楼主可能急了,眼神不太好吧
雪    币: 266
活跃值: 活跃值 (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
小希希 活跃值 2019-6-27 14:31
10
0
xiaofu的意思是 hook掉 DbgUiRemoteBreakin 不让调试器执行创建远程线程断点.
调试游戏,这都应该是常识了...
最后于 2019-6-27 14:32 被小希希编辑 ,原因:
雪    币: 830
活跃值: 活跃值 (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
洛臻 活跃值 2019-6-29 12:06
11
0
小希希 xiaofu的意思是 hook掉 DbgUiRemoteBreakin 不让调试器执行创建远程线程断点.调试游戏,这都应该是常识了...
线程根本执行不到这里。HOOK他有啥用
雪    币: 40
活跃值: 活跃值 (44)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
killpy 活跃值 2 2019-7-1 14:01
12
0
有点意思
游客
登录 | 注册 方可回帖
返回