[讨论]关于国外某游戏保护的研究-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]关于国外某游戏保护的研究

发表于: 2012-7-19 17:41 12644

[讨论]关于国外某游戏保护的研究

裤子大侠

2012-7-19 17:41

12644

近日看过许多关于游戏保护的文章.....由于是新手...看完后知其然不知其所以然...
所以决定找个国外的游戏来自己练练手......从头学习研究.....
接下来言归正传

这个就是萎缩的保护图.....被他烦了一个星期了

首先用xt看看ssdt中Hook的函数

都是函数头jmp....直接恢复有检测.....所以我都用ssdthook过了
这里为止....开始头痛了......
ce和od一打开....立马弹出错误...游戏结束.....
开始怀疑是检测的窗口名或者进程名...所以换了一个ve修改器.....结果仍然被检测到.....
猜想应该是检测特征码了.....但是技术实在有限...又不知道是在哪检测的.......
于是把xt翻过来翻过去的看....看到如下玩意儿.....

后缀不认识...查了一下...貌似叫做dll外壳程序....具体我也不懂了....拖到ida里一看....

很开心的看到了那个terminateProcess......猜想大概就是这里了......
于是用工具把jmp的那部分nop掉......结果启动游戏的时候有自检....又给它恢复了......
只得强制写进程的内存......很开心的一试.....还是悲剧了......仍然检测得到.......
od用上sod的插件是可以不被检测的.....
例外关于调试部分......内核钩子还有个这玩意儿.......

这个是在函数头jmp了.....且有检测....不能直接恢复.....
能不能有个ssdtHook的那种方法改变函数的首地址呢........
这里有几个问题想请教下大牛们......
1，是不是所有的内核上的改动都会在如下目录上显示出来

2，sod保证不被检测的原理是什么....我给ce加个压缩壳会不会有效.....
3，我用winDbg双机调试开游戏会报异常..错误代码说的是堆栈不平衡..这样要从哪方面去下手解决..google也不知道怎么查关键字

4，就是那个keAttachProcess的Hook我要怎么弄掉它

希望大家给我这个菜鸟一点提示

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

保护名.jpg （18.82kb，628次下载）
hook.jpg （80.96kb，631次下载）
进程.jpg （2.73kb，630次下载）
关键流程.jpg （57.30kb，632次下载）
ke钩子.jpg （14.61kb，629次下载）
目录.jpg （16.27kb，629次下载）

收藏・9

免费・0

支持

最新回复 (15)
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 2 楼 keAttachProcess的Hook 你就从调用的位置ByPass呗完全体力活 2012-7-19 19:17 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 3 楼接下去会让你更蛋疼 2012-7-19 19:52 0
笑熬浆糊雪币： 414 活跃值： (987) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 229 粉丝 4 关注私信	笑熬浆糊 2 4 楼用这个练手....您真想得出来建议从国内简单的入手比如说完美的 PP 马总的 TP 等开始大家都玩烂的 2012-7-19 20:04 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 5 楼其实xg3是模仿np的，hook什么的都是垃圾，检测上有独到的东西~ 2012-7-19 20:08 0
裤子大侠雪币： 119 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	裤子大侠 6 楼多谢提点....我去找找np的资料看看〉。。 2012-7-19 20:33 0
裤子大侠雪币： 119 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	裤子大侠 7 楼就是看了那些过保护的文章啊....对咱来说跳跃性有点大...我太新手了.....我还是再研究研究把... 2012-7-19 20:35 0
裤子大侠雪币： 119 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	裤子大侠 8 楼无法双机调试...还不知道怎么解决....这也是我蛋疼得地方...... 2012-7-19 20:36 0
crazyearl 雪币： 439 活跃值： (1284) 能力值： ( LV8，RANK：120 ) 在线值：发帖 26 回帖 102 粉丝 81 关注私信	crazyearl 2 9 楼这个保护我在2011年5月接的一个日本项目中碰到过，历时15天，过的很辛苦 2012-7-22 10:31 0
crazyearl 雪币： 439 活跃值： (1284) 能力值： ( LV8，RANK：120 ) 在线值：发帖 26 回帖 102 粉丝 81 关注私信	crazyearl 2 10 楼日本的一个垃圾游戏 Dekaron用的就是这个.在中国这个游戏叫挑战，快黄了.日本的也是快黄了 2012-7-22 10:35 0
crazyearl 雪币： 439 活跃值： (1284) 能力值： ( LV8，RANK：120 ) 在线值：发帖 26 回帖 102 粉丝 81 关注私信	crazyearl 2 11 楼刚才抽了一会烟，凭借模糊的回忆，告诉你怎么弄的当时 OD 可以使用SOD插件 CE 可以再沙盘中打开，但是一定是原版的。在XT中可以发现.xem后缀的进程，2个在OD附加之前都可以给他们挂起，不是关闭。是挂起关于调试我使用的是syser 有2个办法调试第一个是bpload Xhunter1 这样在它加载驱动的时候就断了，后面的自己想办法第二个是把syser 处于STOP状态，就是托盘里面的syser标志被禁用标志了，在那个图片出来以后，图片下面有个进度条读完的"时候"立即开启syser并按下ctrl+f12 然后设置断点，可以使用了最后好像对国产的驱动加载软件InstDrv也有检测.无奈使用了monitor加载驱动另外贴上keAttachProcess的解决办法，至此我想你的困惑应该没有了以后的工作靠自己了 ////////////////// ////////////////////////////////////////////////////////////////////// // 名称: MyKeAttachProcess // 功能: 中继函数 // 参数: // 返回: ////////////////////////////////////////////////////////////////////// static NAKED VOID MyKeAttachProcess() { //DbgPrint("MyKeAttachProcess() called"); __asm { mov edi,edi push ebp mov ebp,esp push esi jmp KeAttachProcessAddress } } VOID Recovery_KeAttachProcess() { TOPCODE topCode = NULL; ULONG jad; KIRQL Irql; //获取函数地址 KeAttachProcessAddress = (BYTE)MyGetFunAddress(L"KeAttachProcess"); if (KeAttachProcessAddress == NULL) { KdPrint(("KeAttachProcess地址为空")); return; } //将指针指向AttachProcessAddress函数头部 topCode = (TOPCODE)KeAttachProcessAddress; jad = (ULONG)topCode->address; //设定返回地址 KeAttachProcessAddress+=6; WPOFF(); //清除CR0 //提升IRQL中断级 Irql=KeRaiseIrqlToDpcLevel(); //RtlCopyMemory((BYTE)jmpAddress,JmpMyAttachProcess,5); (ULONG)jad = (ULONG)MyKeAttachProcess; //恢复Irql KeLowerIrql(Irql); WPON(); //恢复CR0 } 2012-7-22 10:55 0
辉煌世纪雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 129 粉丝 0 关注私信	辉煌世纪 12 楼呀` 还有闲工夫发帖呢`跑器搞完了啊 2012-7-22 13:35 0
裤子大侠雪币： 119 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	裤子大侠 13 楼非常感谢啊.......我几乎是要放弃了........我也看到ce在沙盘里打开的方法.....我想知道关于检测的原理......所以没有去试........现在知道凭咱的技术要想从头到尾弄清楚....还得再磨练很长一段时间.........我再去按照您的方法去研究研究......再次感谢指导... 2012-7-22 23:09 0
裤子大侠雪币： 119 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	裤子大侠 14 楼难怪我看这个Dekaron感觉这么眼熟.....找相关资料全在国外Dekaron的这个游戏论坛上.......虽然实质技术上的东西上面基本没有......... 2012-7-22 23:18 0
裤子大侠雪币： 119 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	裤子大侠 15 楼 ce还是检测到了.....这个太狠了....... 2012-7-23 10:48 0
crazyearl 雪币： 439 活跃值： (1284) 能力值： ( LV8，RANK：120 ) 在线值：发帖 26 回帖 102 粉丝 81 关注私信	crazyearl 2 16 楼完了，别老憋在家里。没事过来溜达 2012-7-24 10:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

裤子大侠

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 2 楼 keAttachProcess的Hook 你就从调用的位置ByPass呗完全体力活 2012-7-19 19:17 0
哇咔咔zs 雪币： 130 活跃值： (1005) 能力值： ( LV2，RANK：10 ) 在线值：发帖 70 回帖 443 粉丝 3 关注私信	哇咔咔zs 3 楼接下去会让你更蛋疼 2012-7-19 19:52 0
笑熬浆糊雪币： 414 活跃值： (987) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 229 粉丝 4 关注私信	笑熬浆糊 2 4 楼用这个练手....您真想得出来建议从国内简单的入手比如说完美的 PP 马总的 TP 等开始大家都玩烂的 2012-7-19 20:04 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 5 楼其实xg3是模仿np的，hook什么的都是垃圾，检测上有独到的东西~ 2012-7-19 20:08 0
裤子大侠雪币： 119 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	裤子大侠 6 楼多谢提点....我去找找np的资料看看〉。。 2012-7-19 20:33 0
裤子大侠雪币： 119 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	裤子大侠 7 楼就是看了那些过保护的文章啊....对咱来说跳跃性有点大...我太新手了.....我还是再研究研究把... 2012-7-19 20:35 0
裤子大侠雪币： 119 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	裤子大侠 8 楼无法双机调试...还不知道怎么解决....这也是我蛋疼得地方...... 2012-7-19 20:36 0
crazyearl 雪币： 439 活跃值： (1284) 能力值： ( LV8，RANK：120 ) 在线值：发帖 26 回帖 102 粉丝 81 关注私信	crazyearl 2 9 楼这个保护我在2011年5月接的一个日本项目中碰到过，历时15天，过的很辛苦 2012-7-22 10:31 0
crazyearl 雪币： 439 活跃值： (1284) 能力值： ( LV8，RANK：120 ) 在线值：发帖 26 回帖 102 粉丝 81 关注私信	crazyearl 2 10 楼日本的一个垃圾游戏 Dekaron用的就是这个.在中国这个游戏叫挑战，快黄了.日本的也是快黄了 2012-7-22 10:35 0
crazyearl 雪币： 439 活跃值： (1284) 能力值： ( LV8，RANK：120 ) 在线值：发帖 26 回帖 102 粉丝 81 关注私信	crazyearl 2 11 楼刚才抽了一会烟，凭借模糊的回忆，告诉你怎么弄的当时 OD 可以使用SOD插件 CE 可以再沙盘中打开，但是一定是原版的。在XT中可以发现.xem后缀的进程，2个在OD附加之前都可以给他们挂起，不是关闭。是挂起关于调试我使用的是syser 有2个办法调试第一个是bpload Xhunter1 这样在它加载驱动的时候就断了，后面的自己想办法第二个是把syser 处于STOP状态，就是托盘里面的syser标志被禁用标志了，在那个图片出来以后，图片下面有个进度条读完的"时候"立即开启syser并按下ctrl+f12 然后设置断点，可以使用了最后好像对国产的驱动加载软件InstDrv也有检测.无奈使用了monitor加载驱动另外贴上keAttachProcess的解决办法，至此我想你的困惑应该没有了以后的工作靠自己了 ////////////////// ////////////////////////////////////////////////////////////////////// // 名称: MyKeAttachProcess // 功能: 中继函数 // 参数: // 返回: ////////////////////////////////////////////////////////////////////// static NAKED VOID MyKeAttachProcess() { //DbgPrint("MyKeAttachProcess() called"); __asm { mov edi,edi push ebp mov ebp,esp push esi jmp KeAttachProcessAddress } } VOID Recovery_KeAttachProcess() { TOPCODE topCode = NULL; ULONG jad; KIRQL Irql; //获取函数地址 KeAttachProcessAddress = (BYTE)MyGetFunAddress(L"KeAttachProcess"); if (KeAttachProcessAddress == NULL) { KdPrint(("KeAttachProcess地址为空")); return; } //将指针指向AttachProcessAddress函数头部 topCode = (TOPCODE)KeAttachProcessAddress; jad = (ULONG)topCode->address; //设定返回地址 KeAttachProcessAddress+=6; WPOFF(); //清除CR0 //提升IRQL中断级 Irql=KeRaiseIrqlToDpcLevel(); //RtlCopyMemory((BYTE)jmpAddress,JmpMyAttachProcess,5); (ULONG)jad = (ULONG)MyKeAttachProcess; //恢复Irql KeLowerIrql(Irql); WPON(); //恢复CR0 } 2012-7-22 10:55 0
辉煌世纪雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 129 粉丝 0 关注私信	辉煌世纪 12 楼呀` 还有闲工夫发帖呢`跑器搞完了啊 2012-7-22 13:35 0
裤子大侠雪币： 119 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	裤子大侠 13 楼非常感谢啊.......我几乎是要放弃了........我也看到ce在沙盘里打开的方法.....我想知道关于检测的原理......所以没有去试........现在知道凭咱的技术要想从头到尾弄清楚....还得再磨练很长一段时间.........我再去按照您的方法去研究研究......再次感谢指导... 2012-7-22 23:09 0
裤子大侠雪币： 119 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	裤子大侠 14 楼难怪我看这个Dekaron感觉这么眼熟.....找相关资料全在国外Dekaron的这个游戏论坛上.......虽然实质技术上的东西上面基本没有......... 2012-7-22 23:18 0
裤子大侠雪币： 119 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	裤子大侠 15 楼 ce还是检测到了.....这个太狠了....... 2012-7-23 10:48 0
crazyearl 雪币： 439 活跃值： (1284) 能力值： ( LV8，RANK：120 ) 在线值：发帖 26 回帖 102 粉丝 81 关注私信	crazyearl 2 16 楼完了，别老憋在家里。没事过来溜达 2012-7-24 10:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复