[原创]HackShield分析(1)-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]HackShield分析(1)

发表于: 2010-1-11 02:18 37865

[原创]HackShield分析(1)

speeches

2010-1-11 02:18

37865

我学习研究了一段时间的hackshield，写一些资料，与大家共享。共同学习，共同进步。

主要有三部分。
第1 HackShield的组成
  1) EhSvc.dll
   游戏和Hack Shield的通信dll,
  2) V3Pro32s.dll:
   HackShield的anti tools侦测dll；
  3) 3N.mhe:
   样式库，可以通过一些规则来查找 hack tool
4) psapi.dll:
进程信息库
5) V3Warp(d)(n)s.v3d:
   和3N.mhe类似，需要3N.mhe 工作，
6) EagleNT.sys:
   地球人都知道的，HS的驱动库，呵呵，hook ntopenprocesss,read/writeprocessmemory,...等函数
第2，HackShiled的流程

这个图是HackShield的工作流程

第3，byPass的一些想法
   HackShiled通过CallBack函数，通知主程序一些异常信息，比如"侦测到...工具"  ;
   可以hook这个函数，来bypass
查找方法，IDA，找关键字符，比如“侦测到违法工具”,然后找到处理这些字符的函数
.nop掉。通常游戏就不会再弹出对话框，也不会关掉游戏了

(....内容有些多，稍后我会不定期更新下，）

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

w1.JPG （26.45kb，2399次下载）
w2.JPG （19.01kb，2393次下载）

收藏・47

免费・7

支持

最新回复 (24)
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 2 楼 CallBack函数哪个 dll 里面的 2010-1-11 03:31 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 3 楼占个位置希望能看到一些思路和方法 2010-1-11 03:33 0
许胜雪币： 22 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 191 粉丝 0 关注私信	许胜 4 楼 HackShiled通过CallBack函数，通知主程序一些异常信息，比如"侦测到...工具" ; 可以hook这个函数，来bypass 意思就是让驱动退出。而不让游戏退出？看过一个人这样搞NP，不过他不是hook你那个call back。。是给NP线程停掉了。呵呵。可能意思一样。 2010-1-11 07:52 0
speeches 雪币： 141 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 146 回帖 301 粉丝 2 关注私信	speeches 5 楼这个是hook的通信 2010-1-11 15:47 0
eosnfi 雪币： 295 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	eosnfi 6 楼支持~　　等着看楼主的下文 2010-1-11 20:16 0
cxxxx 雪币： 101 活跃值： (157) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 97 粉丝 1 关注私信	cxxxx 1 7 楼占位等更新。。。 2010-1-12 11:02 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 8 楼希望有猥琐的思路和方法出台 2010-1-13 21:10 0
Second 雪币： 608 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 179 粉丝 0 关注私信	Second 1 9 楼期待新的想法 2010-1-14 04:18 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 10 楼图和sdk说明文档中的怎么这么像 2010-1-14 21:45 0
speeches 雪币： 141 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 146 回帖 301 粉丝 2 关注私信	speeches 11 楼 hs有sdk说明文档？发来下 2010-1-15 02:00 0
jzeel 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	jzeel 12 楼这两天也在跟HS斗争，很头疼~~~希望你的后续文章能给我一些启发 2010-1-16 10:20 0
二毛雪币： 143 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 392 粉丝 0 关注私信	二毛 13 楼 HS前两天才弄过，也是跟踪调试他的异常发现了类似的函数，把他返回的值修改下就不会被检测到了。但是不知道我调试的版本是不是老版本，就是国服的冒险岛的HS。 2010-1-16 18:09 0
kanxue 雪币： 47147 活跃值： (20470) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 14 楼先设关注，完成后再设置精华。 2010-1-16 19:25 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 15 楼发帖到现在，都差不多一个星期了，期待呀... 2010-1-16 19:47 0
GStar 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	GStar 16 楼 mark谢谢lz分享。 2010-1-19 13:47 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 17 楼支持一下，呵呵。。LZ 2010-4-13 19:30 0
maikkk 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	maikkk 18 楼关注下,好久没来了 2010-4-14 00:34 0
warrenlink 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	warrenlink 19 楼加油希望能趕快更新期待能看到更多東西 2010-4-14 22:41 0
kkjjhh 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	kkjjhh 20 楼总算找到相关HS的贴了！咋论坛搜索HS没见有用的，倒是搜游戏名管用。 2010-4-15 00:21 0
Kxueer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Kxueer 21 楼咋没下文了？？ 2010-8-1 13:42 0
bbqbbqtt 雪币： 7 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 60 粉丝 0 关注私信	bbqbbqtt 22 楼哇，，收藏先。· 2010-8-1 13:54 0
kagayaki 雪币： 1335 活跃值： (5190) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 23 楼收藏了........................ 2011-3-29 02:55 0
渤海屠夫雪币： 72 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	渤海屠夫 24 楼 MPGH 上的jaberus也是楼主你嘛？ 2011-4-20 07:55 0
wx_°別敷衍涐雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 2 粉丝 0 关注私信	wx_°別敷衍涐 25 楼楼主我想请你帮忙调用以上插件。酬谢 2021-1-13 11:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

speeches

146

发帖

301

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 2 楼 CallBack函数哪个 dll 里面的 2010-1-11 03:31 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 3 楼占个位置希望能看到一些思路和方法 2010-1-11 03:33 0
许胜雪币： 22 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 191 粉丝 0 关注私信	许胜 4 楼 HackShiled通过CallBack函数，通知主程序一些异常信息，比如"侦测到...工具" ; 可以hook这个函数，来bypass 意思就是让驱动退出。而不让游戏退出？看过一个人这样搞NP，不过他不是hook你那个call back。。是给NP线程停掉了。呵呵。可能意思一样。 2010-1-11 07:52 0
speeches 雪币： 141 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 146 回帖 301 粉丝 2 关注私信	speeches 5 楼这个是hook的通信 2010-1-11 15:47 0
eosnfi 雪币： 295 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	eosnfi 6 楼支持~　　等着看楼主的下文 2010-1-11 20:16 0
cxxxx 雪币： 101 活跃值： (157) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 97 粉丝 1 关注私信	cxxxx 1 7 楼占位等更新。。。 2010-1-12 11:02 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 8 楼希望有猥琐的思路和方法出台 2010-1-13 21:10 0
Second 雪币： 608 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 179 粉丝 0 关注私信	Second 1 9 楼期待新的想法 2010-1-14 04:18 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 3 关注私信	Aker 4 10 楼图和sdk说明文档中的怎么这么像 2010-1-14 21:45 0
speeches 雪币： 141 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 146 回帖 301 粉丝 2 关注私信	speeches 11 楼 hs有sdk说明文档？发来下 2010-1-15 02:00 0
jzeel 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 10 粉丝 0 关注私信	jzeel 12 楼这两天也在跟HS斗争，很头疼~~~希望你的后续文章能给我一些启发 2010-1-16 10:20 0
二毛雪币： 143 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 392 粉丝 0 关注私信	二毛 13 楼 HS前两天才弄过，也是跟踪调试他的异常发现了类似的函数，把他返回的值修改下就不会被检测到了。但是不知道我调试的版本是不是老版本，就是国服的冒险岛的HS。 2010-1-16 18:09 0
kanxue 雪币： 47147 活跃值： (20470) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 14 楼先设关注，完成后再设置精华。 2010-1-16 19:25 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 15 楼发帖到现在，都差不多一个星期了，期待呀... 2010-1-16 19:47 0
GStar 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 42 粉丝 0 关注私信	GStar 16 楼 mark谢谢lz分享。 2010-1-19 13:47 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 17 楼支持一下，呵呵。。LZ 2010-4-13 19:30 0
maikkk 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	maikkk 18 楼关注下,好久没来了 2010-4-14 00:34 0
warrenlink 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	warrenlink 19 楼加油希望能趕快更新期待能看到更多東西 2010-4-14 22:41 0
kkjjhh 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	kkjjhh 20 楼总算找到相关HS的贴了！咋论坛搜索HS没见有用的，倒是搜游戏名管用。 2010-4-15 00:21 0
Kxueer 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Kxueer 21 楼咋没下文了？？ 2010-8-1 13:42 0
bbqbbqtt 雪币： 7 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 60 粉丝 0 关注私信	bbqbbqtt 22 楼哇，，收藏先。· 2010-8-1 13:54 0
kagayaki 雪币： 1335 活跃值： (5190) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 23 楼收藏了........................ 2011-3-29 02:55 0
渤海屠夫雪币： 72 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	渤海屠夫 24 楼 MPGH 上的jaberus也是楼主你嘛？ 2011-4-20 07:55 0
wx_°別敷衍涐雪币： 4 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 2 粉丝 0 关注私信	wx_°別敷衍涐 25 楼楼主我想请你帮忙调用以上插件。酬谢 2021-1-13 11:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复