-
-
[讨论]关于国外某游戏保护的研究
-
发表于:
2012-7-19 17:41
12628
-
近日看过许多关于游戏保护的文章.....由于是新手...看完后知其然不知其所以然...
所以决定找个国外的游戏来自己练练手......从头学习研究.....
接下来言归正传
这个就是萎缩的保护图.....被他烦了一个星期了
首先用xt看看ssdt中Hook的函数
都是函数头jmp....直接恢复有检测.....所以我都用ssdthook过了
这里为止....开始头痛了......
ce和od一打开....立马弹出错误...游戏结束.....
开始怀疑是检测的窗口名或者进程名...所以换了一个ve修改器.....结果仍然被检测到.....
猜想应该是检测特征码了.....但是技术实在有限...又不知道是在哪检测的.......
于是把xt翻过来翻过去的看....看到如下玩意儿.....
后缀不认识...查了一下...貌似叫做dll外壳程序....具体我也不懂了....拖到ida里一看....
很开心的看到了那个terminateProcess......猜想大概就是这里了......
于是用工具把jmp的那部分nop掉......结果启动游戏的时候有自检....又给它恢复了......
只得强制写进程的内存......很开心的一试.....还是悲剧了......仍然检测得到.......
od用上sod的插件是可以不被检测的.....
例外关于调试部分......内核钩子还有个这玩意儿.......
这个是在函数头jmp了.....且有检测....不能直接恢复.....
能不能有个ssdtHook的那种方法改变函数的首地址呢........
这里有几个问题想请教下大牛们......
1,是不是所有的内核上的改动都会在如下目录上显示出来
2,sod保证不被检测的原理是什么....我给ce加个压缩壳会不会有效.....
3,我用winDbg双机调试开游戏会报异常..错误代码说的是堆栈不平衡..这样要从哪方面去下手解决..google也不知道怎么查关键字
4,就是那个keAttachProcess的Hook我要怎么弄掉它
希望大家给我这个菜鸟一点提示
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课