[原创]发一个不仅仅hook的游戏保护驱动代码，以及简要流程图-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]发一个不仅仅hook的游戏保护驱动代码，以及简要流程图

发表于: 2012-10-18 20:45 20522

[原创]发一个不仅仅hook的游戏保护驱动代码，以及简要流程图

layerfsd

2012-10-18 20:45

20522

幸得某人的注册码，可以来到看雪。

翻翻硬盘，翻到一些几年前写的代码，放着也是放着，只是很多代码自己看来也觉得幼稚了，发一些上来给各位批判。
今天发的是09还是10年写的一个游戏保护的驱动代码，应用层由于耦合的东西有点多，就不发了。那时心血来潮，想自己实现一个游戏保护驱动，大概觉得hs、np什么的有点简单，不过那时把重心放应用层了，功力不够，驱动部分只是稍稍写了下，工程量不大，有效代码肯定在1w行以内，而且对兼容性没做什么考虑，只在xp sp3和2003 sp2下做了测试，主要是xp。

LDasm、libdasm均为网上下载。

付简单流程图一张。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

sys_noRootkit.rar （56.82kb，734次下载）
XGG Driver1.jpg （117.60kb，1273次下载）

收藏・69

免费・6

支持

最新回复 (26) 1 2 ▶
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 2 楼谢谢LZ共享想请教一个问题：双机调试的禁用是应用层某个线程造成的吗？还是有其他地方？ 2012-10-18 21:18 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 3 楼顶啊，好东西啊，感谢楼主，先顶一下，然后围观。 2012-10-18 22:22 0
坏孩子Z 雪币： 15 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 77 粉丝 0 关注私信	坏孩子Z 4 楼地板来了顶一下楼主 2012-10-18 22:40 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 5 楼预测一下吧，是精华呢，还是酷贴 2012-10-18 23:17 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 6 楼感谢分享~话说这图不高清啊~~~~~还不如把图放到压缩包里面！ 2012-10-19 11:04 0
xyzjanker 雪币： 100 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	xyzjanker 7 楼目测，楼主用的马甲！ 2012-10-19 11:26 0
fishyuule 雪币： 21 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 51 粉丝 1 关注私信	fishyuule 8 楼直接源代码啊，给力 2012-10-19 17:08 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 9 楼不错，驱动保护。，来看看 2012-10-19 17:21 0
Savoor 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	Savoor 10 楼不错,支持~~~ 2012-10-19 17:32 0
哟哟哟哟雪币： 107 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 204 粉丝 0 关注私信	哟哟哟哟 11 楼一贴一精华...某人马甲 2012-10-19 18:38 0
Cacker 雪币： 118 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 50 粉丝 0 关注私信	Cacker 12 楼此贴必好····照图看码学习保护 2012-10-19 20:06 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 13 楼 mobile .......... 2012-10-19 22:57 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 14 楼 123456 2012-10-19 23:22 0
Nermor 雪币： 138 活跃值： (460) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 371 粉丝 2 关注私信	Nermor 1 15 楼我现在所知道的情况是去驱动层调用 KdDisableDebugger 来禁止双机调试；以TP为例，可以在还没开启游戏之前开启windbg， bp KdDisableDebugger 然后开启游戏；等到游戏断到 KdDisableDebugger。就可以用栈回溯找到根源(TP好几个线程都在禁止双机调试)；找到线程代码，干掉他！不建议直接在KdDisableDebugger头部写retn 会卡的你想哭相关文章：http://bbs.pediy.com/showthread.php?t=126802&highlight=TP 最新的手段没有去研究，如果说的不对还请扔砖，因为我家正在砌房子中。。 2012-10-20 10:57 0
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 16 楼 tag:gameguard 2012-10-20 12:06 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 17 楼 LZ发威了，支持开！ 2012-10-20 13:51 0
sinmon 雪币： 163 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	sinmon 18 楼谢谢楼主,学习了！ 2012-10-20 23:03 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 19 楼 Thanks for share. 上传的附件： cool.gif （0.75kb，98次下载） 2012-10-21 00:50 0
BeanBaby 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 40 粉丝 0 关注私信	BeanBaby 20 楼感谢LZ分享！ 2012-10-21 09:25 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 21 楼 mark mark 2012-10-22 13:43 0
iwantbmw 雪币： 102 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 100 粉丝 0 关注私信	iwantbmw 22 楼大牛，厉害，顶了！ 2012-10-22 23:05 0
wertyuyuyu 雪币： 778 活跃值： (208) 能力值： ( LV9，RANK：260 ) 在线值：发帖 34 回帖 249 粉丝 0 关注私信	wertyuyuyu 4 23 楼谢谢楼主分享 2012-11-8 08:11 0
ybbyygymyd 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	ybbyygymyd 24 楼直接源代码啊，给力 2012-11-15 21:17 0
圜长雪币： 31 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 42 粉丝 2 关注私信	圜长 25 楼收藏一下,是份好源码 2012-11-20 18:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

layerfsd

发帖

284

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
记忆中shu 雪币： 50 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 0 关注私信	记忆中shu 2 楼谢谢LZ共享想请教一个问题：双机调试的禁用是应用层某个线程造成的吗？还是有其他地方？ 2012-10-18 21:18 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 3 楼顶啊，好东西啊，感谢楼主，先顶一下，然后围观。 2012-10-18 22:22 0
坏孩子Z 雪币： 15 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 77 粉丝 0 关注私信	坏孩子Z 4 楼地板来了顶一下楼主 2012-10-18 22:40 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 5 楼预测一下吧，是精华呢，还是酷贴 2012-10-18 23:17 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 6 楼感谢分享~话说这图不高清啊~~~~~还不如把图放到压缩包里面！ 2012-10-19 11:04 0
xyzjanker 雪币： 100 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	xyzjanker 7 楼目测，楼主用的马甲！ 2012-10-19 11:26 0
fishyuule 雪币： 21 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 51 粉丝 1 关注私信	fishyuule 8 楼直接源代码啊，给力 2012-10-19 17:08 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 9 楼不错，驱动保护。，来看看 2012-10-19 17:21 0
Savoor 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	Savoor 10 楼不错,支持~~~ 2012-10-19 17:32 0
哟哟哟哟雪币： 107 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 204 粉丝 0 关注私信	哟哟哟哟 11 楼一贴一精华...某人马甲 2012-10-19 18:38 0
Cacker 雪币： 118 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 50 粉丝 0 关注私信	Cacker 12 楼此贴必好····照图看码学习保护 2012-10-19 20:06 0
Membered 雪币： 86 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 99 粉丝 0 关注私信	Membered 13 楼 mobile .......... 2012-10-19 22:57 0
心如止境雪币： 316 活跃值： (128) 能力值： ( LV7，RANK：110 ) 在线值：发帖 42 回帖 361 粉丝 2 关注私信	心如止境 2 14 楼 123456 2012-10-19 23:22 0
Nermor 雪币： 138 活跃值： (460) 能力值： ( LV4，RANK：50 ) 在线值：发帖 29 回帖 371 粉丝 2 关注私信	Nermor 1 15 楼我现在所知道的情况是去驱动层调用 KdDisableDebugger 来禁止双机调试；以TP为例，可以在还没开启游戏之前开启windbg， bp KdDisableDebugger 然后开启游戏；等到游戏断到 KdDisableDebugger。就可以用栈回溯找到根源(TP好几个线程都在禁止双机调试)；找到线程代码，干掉他！不建议直接在KdDisableDebugger头部写retn 会卡的你想哭相关文章：http://bbs.pediy.com/showthread.php?t=126802&highlight=TP 最新的手段没有去研究，如果说的不对还请扔砖，因为我家正在砌房子中。。 2012-10-20 10:57 0
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 16 楼 tag:gameguard 2012-10-20 12:06 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 17 楼 LZ发威了，支持开！ 2012-10-20 13:51 0
sinmon 雪币： 163 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 107 粉丝 0 关注私信	sinmon 18 楼谢谢楼主,学习了！ 2012-10-20 23:03 0
linhanshi 雪币： 93908 活跃值： (200199) 能力值： (RANK：10 ) 在线值：发帖 9213 回帖 27805 粉丝 446 关注私信	linhanshi 19 楼 Thanks for share. 上传的附件： cool.gif （0.75kb，98次下载） 2012-10-21 00:50 0
BeanBaby 雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 40 粉丝 0 关注私信	BeanBaby 20 楼感谢LZ分享！ 2012-10-21 09:25 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 21 楼 mark mark 2012-10-22 13:43 0
iwantbmw 雪币： 102 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 100 粉丝 0 关注私信	iwantbmw 22 楼大牛，厉害，顶了！ 2012-10-22 23:05 0
wertyuyuyu 雪币： 778 活跃值： (208) 能力值： ( LV9，RANK：260 ) 在线值：发帖 34 回帖 249 粉丝 0 关注私信	wertyuyuyu 4 23 楼谢谢楼主分享 2012-11-8 08:11 0
ybbyygymyd 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	ybbyygymyd 24 楼直接源代码啊，给力 2012-11-15 21:17 0
圜长雪币： 31 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 42 粉丝 2 关注私信	圜长 25 楼收藏一下,是份好源码 2012-11-20 18:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复