首页
论坛
课程
招聘
雪    币: 3154
活跃值: 活跃值 (91)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝

[奇思妙想] [讨论]过NGS反调试一点思考,可能有错的地方,菜鸟一枚,大佬求放过.

2020-6-30 01:26 949

[奇思妙想] [讨论]过NGS反调试一点思考,可能有错的地方,菜鸟一枚,大佬求放过.

2020-6-30 01:26
949

NGS全称neon game security,天成旗下游戏反外挂系统
经检查,没发现驱动,只有3Ring下各种检测api,相对较简单
1.直接OD附加,进程结束,有反调试.
3.api Monitor监控NGS行为.发现各种遍历进程api
,各种遍历硬件基本信息.
4.再次尝试反反调试,移除各种调试信息,卒
5.发现问题,为什么api Monitor可以调试,我不行
6.通过多次使用api Monitor发现,在创建进程时选监控是可以调试NGS的,
而在NGS运行时附加必定退出.
7.附加调用NtDebugActiveProcess
还有另一种调试方法.
BOOL NtCreateProcess
(
LPCTSTR lpApplicationName,
LPTSTR lpCommandLine,
LPSECURITY_ATTRIBUTES lpProcessAttributes,
LPSECURITY_ATTRIBUTES lpThreadAttributes,
BOOL bInheritHandles,
DWORD dwCreationFlags,
LPVOID lpEnvironment,
LPCTSTR lpCurrentDirectory,
LPSTARTUPINFO lpStartupInfo,
LPPROCESS_INFORMATIONlpProcessInformation
);
dwCreationFlags

 

DEBUG_PROCESS
0x00000001
The calling thread starts and debugs the new process
and all child processes created by the new process.
It can receive all related debug events using WaitForDebugEvent

 

8.应该是我没处理好某些反调试,直接从创建进程调试正好可以绕过.
最近太忙了,以后有空研究.
9.实现,偷梁换柱,在CreateProcess下断,改参数写个插件把调试转移给调试器.

 

PS:大佬们,你们是怎么分析出各种反外挂系统的,感觉像神仙一样
调试个ngs都整的头秃
给个基本的学习路径就行,小菜鸟无从下手啊



[赠书活动] 《云计算安全》和《云存储安全实践》上线!老师留下通讯地址,即可获得赠书一套!送100套,送完为止!

最新回复 (7)
雪    币: 217
活跃值: 活跃值 (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
库尔 活跃值 2020-6-30 06:56
2
0
https://www.freebuf.com/column/181083.html  基本上应用层就这些。
雪    币: 7609
活跃值: 活跃值 (102)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
Lixinist 活跃值 1 2020-6-30 09:26
3
0
创建进程调试可以绕过,附加调试绕不过。
考虑一下隐藏线程这种在x64系统上很有用的反调试
雪    币: 3154
活跃值: 活跃值 (91)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qj111111 活跃值 2020-6-30 11:01
4
0
库尔 https://www.freebuf.com/column/181083.html 基本上应用层就这些。
谢谢大佬,我再仔细研究一下
雪    币: 3154
活跃值: 活跃值 (91)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qj111111 活跃值 2020-6-30 11:03
5
0
谢谢提示,我查下这方面资料,以前没看过
雪    币: 362
活跃值: 活跃值 (38)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
如梦而醉 活跃值 2020-6-30 14:26
6
0
NGS自己加载了一份NTDLL跟KernelBase 有些API走的是自建通道 调用的地方基本打VM了
雪    币: 3154
活跃值: 活跃值 (91)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
qj111111 活跃值 2020-6-30 17:52
7
0
如梦而醉 NGS自己加载了一份NTDLL跟KernelBase 有些API走的是自建通道 调用的地方基本打VM了
卧槽...KernelBase我知道,倒是没发现还有Ntdll这回事
雪    币: 76
活跃值: 活跃值 (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
maxwudi 活跃值 2020-7-8 14:07
8
0
ngs会重载好几次次ntdll,首先是重载一次NTDLL,然后再用重载的NTDLL再重载NTDLL。重载的文件放在temp的地方
游客
登录 | 注册 方可回帖
返回