[原创]游戏保护大放送之梦幻诛仙保护-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]游戏保护大放送之梦幻诛仙保护

发表于: 2012-5-7 21:52 20281

[原创]游戏保护大放送之梦幻诛仙保护

wtxpwh

2012-5-7 21:52

20281

本人不保证此办法现在还生效！蓝屏死机于本人无关！

完美保护里面有个反调试比较BT，不过多开更bt。（梦幻诛仙为例）

第一，先说一些ssdt hook和inline hook的解决办法，也就是hook Kifastcallentry 来搞。
第二，附加卡死情况的解决。完美驱动会获取FastMutex而不释放，导致卡死情况。
发一小段代码

ULONG ExReleaseFastMutex_addr,ReExReleaseFastMutex_addr; 
char g_ExReleaseFastMutex[8]; 
 
VOID GetExReleaseFastMutexAddr() 
{ 
    ULONG  Address=0; 
    ULONG temp_addr; 
    char* temp_cr=0; 
    Address = (ULONG)_KeServiceDescriptorTable->NotUse1.ServiceTableBase + 269 * 4;         
 
    temp_addr = *(ULONG*)Address; 
    temp_addr=temp_addr+0x19A; 
    temp_cr=(char*)temp_addr; 
    ExReleaseFastMutex_addr=*((ULONG*)&temp_cr[2]); 
    ExReleaseFastMutex_addr=*(ULONG*)ExReleaseFastMutex_addr; 
 
 
} 
VOID __declspec(naked)MyExReleaseFastMutex() 
{ 
    __asm 
    { 
        cmp        ecx,DbgkpProcessDebugPortMutexaddr 
        jnz        ONMYFAST 
        mov        ecx,pMyDbgkpProcessDebugPortMutex 
ONMYFAST: 
        xor     eax, eax 
        mov     al, [ecx + 0x1c] 
        jmp        [ReExReleaseFastMutex_addr] 
 
    } 
 
} 
 
 
VOID Patch_ExReleaseFastMutex() 
{ 
    KIRQL oldIrql; 
    unsigned char newcode[] = { 0xE9, 0x44, 0x33, 0x22, 0x11}; 
 
    GetExReleaseFastMutexAddr(); 
 
    ReExReleaseFastMutex_addr=ExReleaseFastMutex_addr+5; 
 
    *( (ULONG *)(&newcode[1]) ) =(ULONG)MyExReleaseFastMutex-ExReleaseFastMutex_addr-5; 
 
 
    WPOFF(); 
    oldIrql = KeRaiseIrqlToDpcLevel(); 
 
    memcpy(g_ExReleaseFastMutex,(VOID*)ExReleaseFastMutex_addr,5); 
    memcpy((VOID*)ExReleaseFastMutex_addr,newcode,5); 
 
    KeLowerIrql(oldIrql); 
    WPON(); 
 
 
} 
 
VOID UnPatch_ExReleaseFastMutex() 
{ 
    KIRQL oldIrql; 
     
    WPOFF(); 
    oldIrql = KeRaiseIrqlToDpcLevel(); 
 
    memcpy((VOID*)ExReleaseFastMutex_addr,g_ExReleaseFastMutex,5); 
 
    KeLowerIrql(oldIrql); 
    WPON(); 
 
 
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・47

免费・6

支持

最新回复 (21)
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 2 楼楼主好像“反”外挂出身，高手啊！ 2012-5-7 22:28 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 3 楼上这么多代码，不如上个附件呢，估计没人会在这里仔细看。 2012-5-7 22:44 0
wtxpwh 雪币： 38 活跃值： (536) 能力值： ( LV8，RANK：130 ) 在线值：发帖 39 回帖 327 粉丝 16 关注私信	wtxpwh 1 4 楼天易大大抬爱。要想防就必须学会攻，攻防是相互的。 2012-5-7 22:44 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 5 楼留名，顶楼主。 2012-5-7 22:45 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 6 楼强大。。。。。 2012-5-7 22:47 0
wtxpwh 雪币： 38 活跃值： (536) 能力值： ( LV8，RANK：130 ) 在线值：发帖 39 回帖 327 粉丝 16 关注私信	wtxpwh 1 7 楼只做技术交流，这和附加没有什么区别了，如果直接上附加怕别有用心的人利用，望谅解。 2012-5-7 22:53 0
bluecode 雪币： 303 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 184 粉丝 0 关注私信	bluecode 8 楼复制回去慢慢看。。谢谢LZ。。。。 2012-5-7 23:16 0
nekaxi 雪币： 7395 活跃值： (4582) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 165 粉丝 0 关注私信	nekaxi 9 楼复制，粘贴，保存，然后妹妹就喜欢了 2012-5-8 01:18 0
kmsmxpro 雪币： 123 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 82 粉丝 0 关注私信	kmsmxpro 10 楼站位，留名，学习，感谢！ 2012-5-8 08:16 0
creakerzgz 雪币： 62 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 230 粉丝 3 关注私信	creakerzgz 1 11 楼必须学习，必须膜拜 2012-5-8 10:02 0
清茶雪币： 345 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	清茶 12 楼此方法早已经过去式 2012-5-8 11:15 0
七夜血雪币： 248 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	七夜血 13 楼强帖留名MARK 2012-5-8 11:20 0
南山小松雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	南山小松 14 楼没啥技术含量,能过驱动保护又能怎么样,我去游戏公司面试游戏安全人家照样不鸟你. 2012-5-8 21:02 0
南山小松雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	南山小松 15 楼楼主如果任职了某个游戏公司的游戏安全,来报个喜啊,干脆把我也招去吧,反正你会的我也都会.组个团队,轻松点. 2012-5-8 21:07 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 16 楼强帖留名MARK 2012-5-8 22:17 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 17 楼 pass完美的驱动保护,这个貌似是第一个, 感谢分享 2012-5-9 00:50 0
viphack 雪币： 219 活跃值： (793) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 18 楼 MARKMARK 2012-5-9 06:57 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 19 楼你有能耐别喊人家啊，把自己看的这么低下，不是想说明 LZ 和你一样撒，呵呵，除了技术还需要一点的RP + 运气的 2012-5-9 18:06 0
缘份天琊雪币： 50 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	缘份天琊 20 楼最好搞个视频教程，这样很有说服力的。 2012-5-10 12:35 0
xjj 雪币： 286 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 101 粉丝 1 关注私信	xjj 21 楼 IDT部分，，没处理多核。无多大价值的代码堆。会者自会，，不会的人，你的代码也没多大帮助，思路就不好，，现在玩的是技术层绕过，，不是对抗！现在玩的是通杀，而不是频繁更新！不过得感谢楼主的共享精神，，毕竟对某些人会有些启发~ 2012-5-10 13:28 0
kxyankai 雪币： 103 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	kxyankai 22 楼全是硬编码。不厚道 2012-6-25 16:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wtxpwh

发帖

327

回帖

130

RANK

关注

私信

他的文章

[下载]Sublime Text 2 For Masm32编辑器 bug fix 16070

关于我们

联系我们

企业服务

看雪公众号

最新回复 (21)
天易love 雪币： 2015 活跃值： (902) 能力值： ( LV12，RANK：1000 ) 在线值：发帖 106 回帖 1059 粉丝 21 关注私信	天易love 18 2 楼楼主好像“反”外挂出身，高手啊！ 2012-5-7 22:28 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 3 楼上这么多代码，不如上个附件呢，估计没人会在这里仔细看。 2012-5-7 22:44 0
wtxpwh 雪币： 38 活跃值： (536) 能力值： ( LV8，RANK：130 ) 在线值：发帖 39 回帖 327 粉丝 16 关注私信	wtxpwh 1 4 楼天易大大抬爱。要想防就必须学会攻，攻防是相互的。 2012-5-7 22:44 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 5 楼留名，顶楼主。 2012-5-7 22:45 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 6 楼强大。。。。。 2012-5-7 22:47 0
wtxpwh 雪币： 38 活跃值： (536) 能力值： ( LV8，RANK：130 ) 在线值：发帖 39 回帖 327 粉丝 16 关注私信	wtxpwh 1 7 楼只做技术交流，这和附加没有什么区别了，如果直接上附加怕别有用心的人利用，望谅解。 2012-5-7 22:53 0
bluecode 雪币： 303 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 184 粉丝 0 关注私信	bluecode 8 楼复制回去慢慢看。。谢谢LZ。。。。 2012-5-7 23:16 0
nekaxi 雪币： 7395 活跃值： (4582) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 165 粉丝 0 关注私信	nekaxi 9 楼复制，粘贴，保存，然后妹妹就喜欢了 2012-5-8 01:18 0
kmsmxpro 雪币： 123 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 82 粉丝 0 关注私信	kmsmxpro 10 楼站位，留名，学习，感谢！ 2012-5-8 08:16 0
creakerzgz 雪币： 62 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 230 粉丝 3 关注私信	creakerzgz 1 11 楼必须学习，必须膜拜 2012-5-8 10:02 0
清茶雪币： 345 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	清茶 12 楼此方法早已经过去式 2012-5-8 11:15 0
七夜血雪币： 248 活跃值： (123) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 43 粉丝 0 关注私信	七夜血 13 楼强帖留名MARK 2012-5-8 11:20 0
南山小松雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	南山小松 14 楼没啥技术含量,能过驱动保护又能怎么样,我去游戏公司面试游戏安全人家照样不鸟你. 2012-5-8 21:02 0
南山小松雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	南山小松 15 楼楼主如果任职了某个游戏公司的游戏安全,来报个喜啊,干脆把我也招去吧,反正你会的我也都会.组个团队,轻松点. 2012-5-8 21:07 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 16 楼强帖留名MARK 2012-5-8 22:17 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 17 楼 pass完美的驱动保护,这个貌似是第一个, 感谢分享 2012-5-9 00:50 0
viphack 雪币： 219 活跃值： (793) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 18 楼 MARKMARK 2012-5-9 06:57 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 19 楼你有能耐别喊人家啊，把自己看的这么低下，不是想说明 LZ 和你一样撒，呵呵，除了技术还需要一点的RP + 运气的 2012-5-9 18:06 0
缘份天琊雪币： 50 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	缘份天琊 20 楼最好搞个视频教程，这样很有说服力的。 2012-5-10 12:35 0
xjj 雪币： 286 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 101 粉丝 1 关注私信	xjj 21 楼 IDT部分，，没处理多核。无多大价值的代码堆。会者自会，，不会的人，你的代码也没多大帮助，思路就不好，，现在玩的是技术层绕过，，不是对抗！现在玩的是通杀，而不是频繁更新！不过得感谢楼主的共享精神，，毕竟对某些人会有些启发~ 2012-5-10 13:28 0
kxyankai 雪币： 103 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 33 粉丝 0 关注私信	kxyankai 22 楼全是硬编码。不厚道 2012-6-25 16:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复