-
-
[原创]散谈游戏保护那点事:HShield
-
发表于: 2012-2-25 14:22
-
声明:本文只为研究技术,如使用本文中的源码及技术产生了侵权或违法行为,本人概不负责。如有侵犯你版权的行为,请联系我,本文将立即改正!
在正式开篇之前我要感谢看雪ID:十年寒窗 提供了ThreadHideFromDebugger.sys驱动程序的源码.以及另外几位不愿意透露姓名大牛的破解思路.感谢你们!
前言:大家好,我又回来了.承诺过许多事情,要一件一件去完成.本打算去年8月就写出来的.可惜一直没有时间整理这篇文章.
关于HShield的文章在网络上一搜一大把,我想也没什么秘密可言了.
当时在看雪第一篇搜索出来的帖子(http://bbs.pediy.com/showthread.php?t=104951)
本想做一个从头到尾所有版本的帖子.可惜精力太有限了.今天送上的是 ehsvc.dll版本为 5.5.14.174.去年是多少我忘记了,只记录着它的驱动文件版本号EagleXNt.sys:1.0.0.36截止发帖时本文的一切内容都对该驱动有效.
本文使用操作系统:WindowsXP_SP3
本文完整代码在最下面下载
老规矩既是研究游戏保护总要有个研究对象,选定日本的DNF (アラド戦記)
简报:
NtClose [->0x9FD162F0==>C:\WINDOWS\system32\drivers\EagleXNt.sys] NtDeviceIoControlFile [->0x9FD16190==>C:\WINDOWS\system32\drivers\EagleXNt.sys] NtOpenProcess [->0x9FD16400==>C:\WINDOWS\system32\drivers\EagleXNt.sys] NtGetContextThread [->0x9FD16DC0==>C:\WINDOWS\system32\drivers\EagleXNt.sys] NtQueryPerformanceCounter[->0x9FD16FC0==>C:\WINDOWS\system32\drivers\EagleXNt.sys] NtReadVirtualMemory [->0x9FD166C0==>C:\WINDOWS\system32\drivers\EagleXNt.sys] NtSetContextThread [->0x9FD16C70==>C:\WINDOWS\system32\drivers\EagleXNt.sys] NtWriteVirtualMemory [->0x9FD16820==>C:\WINDOWS\system32\drivers\EagleXNt.sys] KiAttachProcess [->0x9FD15DB0==>C:\WINDOWS\system32\drivers\EagleXNt.sys] IopXxxControlFile [->0x9FD163B0==>C:\WINDOWS\system32\drivers\EagleXNt.sys] PsSuspendThread [->0x9FD16F40==>C:\WINDOWS\system32\drivers\EagleXNt.sys] NtGetContextThread [->0x9FD16980==>C:\WINDOWS\system32\drivers\EagleXNt.sys]
//////////////////////////////////////////////////////////////////////
// 名称: MyNtOpenProcess
// 功能: NtOpenProcess的中继函数
// 参数:
// 返回:
//////////////////////////////////////////////////////////////////////
BYTE *pOpenProcessCall = (PBYTE)0x804E3EA3;
ULONG NtOpenProcessAddress;
ULONG NtOpenProcessRetn1;
ULONG NtOpenProcessRetn2;
PEPROCESS processEPROCESS = NULL; //保存访问者的EPROCESS
ANSI_STRING p_str1,p_str2; //保存进程名称
static NAKED VOID Nakd_NtOpenProcess()
{
__asm
{
pushad
pushf
}
//获得调用者的EPROCESS
processEPROCESS = IoGetCurrentProcess();
//将调用者的进程名保存到str1中
RtlInitAnsiString(&p_str1,(ULONG)processEPROCESS+0x174);
//将我们要比对的进程名放入str2
RtlInitAnsiString(&p_str2,APPNAME);
if (RtlCompareString(&p_str1,&p_str2,TRUE) == 0)
{
//这里说明DNF 进程访问这里了
__asm
{
popf
popad
push 0xC4
push NtOpenProcessRetn1
retn
}
}
else
{
__asm
{
popf
popad
push 0x0C4
push 0x804F5308
call pOpenProcessCall
push NtOpenProcessRetn2
retn
}
}
}
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
支持下
|
|
|
|
|
|
学习,学习~~
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
