首页
论坛
专栏
课程

[求助]某游戏的进程保护,求大神看看

2020-3-25 14:10 1018

[求助]某游戏的进程保护,求大神看看

2020-3-25 14:10
1018
现象:
1.在Win7 x64下,该游戏进程用OpenProcess打开句柄失败。
2.任务管理器看不到进程的用户名和详细描述。
3.PChunter看到有进程和线程ob回调。
我的尝试:
1.我检查了游戏有没有对ce做应用层的IAT和Inline hook,发现没有看到。
2.用ark工具把 进程和线程回调 恢复了,仍然无法打开句柄。
3.我没有开VT,并且尝试去读取msr里面的kisystemcall64地址,发现没有被修改。
4.检查了EPROCESS结构中的 ProtectedProcess 成员,发现没有被修改。

自己懂的一点小套路全试玩了,,只好求大神提供思路了。。
再补充一点:这个游戏在win10 x64下是没有这个保护的。。



2020安全开发者峰会(2020 SDC)议题征集 中国.北京 7月!

最新回复 (18)
kongfubull 2020-3-25 17:45
2
1
看看openprocess的GetLastError是啥呗
神雕大侠X 2020-3-25 18:30
3
0
刚刚试了下,发现返回的错误代码是:
ERROR_ACCESS_DENIED
5 (0x5)
Access is denied.
好像看不出什么来。。。
bambooqj 2020-3-25 21:16
4
1
没看obj钩子么.
神雕大侠X 2020-3-25 22:40
5
0
bambooqj 没看obj钩子么.
obj钩子就是pchunter里面的内核钩子是吧,我不知道这个怎么叫,应该就是我说的进程和线程回调,他还有创建进程 创建线程 和加载模块的回调,我全都恢复了。。还是不行,,我觉得它一定还有其他地方做了什么。。。我实在不知道是处理了哪里,内核里面也没有扫到inline hook。。
mb_kizlxpak 2020-3-26 01:15
6
0
先进行底层hook,然后再把他释放的tp保护ban了就可以了,没那么复杂,兄弟这游戏的保护我都玩烂了
神雕大侠X 2020-3-26 11:34
7
0
mb_kizlxpak 先进行底层hook,然后再把他释放的tp保护ban了就可以了,没那么复杂,兄弟这游戏的保护我都玩烂了
具体怎么弄啊老哥
mb_kizlxpak 2020-3-26 12:07
8
0
QQ三国这个游戏在底层有jmp的,你禁止了他的驱动加载你还是读不了数据的,必须要先禁止再将底层hook了才能读取数据
神雕大侠X 2020-3-26 12:38
9
0
mb_kizlxpak QQ三国这个游戏在底层有jmp的,你禁止了他的驱动加载你还是读不了数据的,必须要先禁止再将底层hook了才能读取数据
啥叫底层有jmp啊
mb_kizlxpak 2020-3-26 13:17
10
0
ntdll.dll那个底层文件有jmp
killpy 2 2020-3-26 13:43
11
0
句柄保护 无非就是 对象钩子 句柄回调(ObRegisterCallbacks) infiity hook  句柄表篡改 还有系统调用返回r3时候有个钩子会先调用 
唐某某 2020-3-26 13:51
12
0
用他个求,自己实现一套来。
神雕大侠X 2020-3-26 14:07
13
0
killpy 句柄保护 无非就是 对象钩子 句柄回调(ObRegisterCallbacks) infiity hook 句柄表篡改 还有系统调用返回r3时候有个钩子会先调用
大神,那个对象钩子和句柄回调是一个东西吗?就是pchunter 的“object钩子”选项卡里面的吗?句柄表篡改是指获取到游戏句柄后,游戏不断扫描所有进程的的句柄表,篡改掉和自己有关的句柄吗?但是我的现象是句柄打开的时候直接就失败了,应该不是这种。还有系统调用返回r3时候的钩子是什么呀?
神雕大侠X 2020-3-26 14:49
14
0
神雕大侠X 大神,那个对象钩子和句柄回调是一个东西吗?就是pchunter 的“object钩子”选项卡里面的吗?句柄表篡改是指获取到游戏句柄后,游戏不断扫描所有进程的的句柄表,篡改掉和自己有关的句柄吗?但是我的 ...
我刚刚看了一下系统的CkclWmiLoggerContext+0x28处,得到的数值是0,请问是否说明没有进行 infiity hook呢?
神雕大侠X 2020-3-26 15:07
15
0
killpy 句柄保护 无非就是 对象钩子 句柄回调(ObRegisterCallbacks) infiity hook 句柄表篡改 还有系统调用返回r3时候有个钩子会先调用
不好意思,刚刚看的那个帖子使用的win10的偏移量,我搞错了,win7上是0x18,这个函数指针确实指向了游戏驱动模块的地址,很有可能就是用了infiity hook了,在infiity hook科普帖子里看到您有问如何禁止ETW,请问您现在找到什么方法处理这个hook了吗?非常感谢
神雕大侠X 2020-3-26 21:39
16
0
唐某某 用他个求,自己实现一套来。
killpy 2 6天前
17
0
神雕大侠X 我刚刚看了一下系统的CkclWmiLoggerContext+0x28处,得到的数值是0,请问是否说明没有进行 infiity hook呢?
不是一回事  那个钩子是InstrumentationCallback
killpy 2 6天前
18
0
神雕大侠X 不好意思,刚刚看的那个帖子使用的win10的偏移量,我搞错了,win7上是0x18,这个函数指针确实指向了游戏驱动模块的地址,很有可能就是用了infiity hook了,在infiity hook科普 ...
那就学习hzqst 冲了它啊 2345驱动占坑第四层 微软第五层 你搞个第六层
神雕大侠X 6天前
19
0
killpy 不是一回事 那个钩子是InstrumentationCallback
谢谢大神解答,我看了InstrumentationCallback,还有一个疑问想请教下,这个hook方式是在一个进程的Kprocess中改写函数指针,那么hook是不是只针对这个被修改的进程呢,还是说是全局的
游客
登录 | 注册 方可回帖
返回