[讨论]周末有点时间系列：让别人不能CALL我们的那些函数-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]周末有点时间系列：让别人不能CALL我们的那些函数

发表于: 2013-1-19 14:22 20224

[讨论]周末有点时间系列：让别人不能CALL我们的那些函数

cvcvxk

2013-1-19 14:22

20224

这个话题，主要是因为跟朋友讨论一些小技术时，引发出来的，于是做了点笔记，不敢独享，故而发出来。
从线程入手就行了，不去使用可以被驱动拦截和监控的ZwSetInfomationThread和ZwQueryInformationThread而使用只操作用户层内存的三个函数：
RtlPushFrame
RtlGetFrame
RtlPopFrame
完全定义形态：
typedef VOID (NTAPI *T_RtlPushFrame)(
PTEB_ACTIVE_FRAME Frame
);
typedef PTEB_ACTIVE_FRAME (NTAPI *T_RtlGetFrame)(
VOID
);

typedef VOID (NTAPI *T_RtlPopFrame)(
PTEB_ACTIVE_FRAME Frame
);

其中PTEB_ACTIVE_FRAME的定义（通过windbg可以获得）：
typedef struct TEB_ACTIVE_FRAME_CONTEXT
{
/* 0x000 */ ULONG Flags;
/* 0x004 */ PSTR FrameName;

} TEB_ACTIVE_FRAME_CONTEXT, *PTEB_ACTIVE_FRAME_CONTEXT;

typedef struct TEB_ACTIVE_FRAME
{
/* 0x000 */ ULONG Context; // Flags;
/* 0x004 */ struct TEB_ACTIVE_FRAME *Previous;
/* 0x008 */ PTEB_ACTIVE_FRAME_CONTEXT pContext;
} TEB_ACTIVE_FRAME, *PTEB_ACTIVE_FRAME;

具体的封装应用的逻辑：
一个自己的创建线程的封装（自己的线程除了系统给的第一个之外都是自己建立的）。
一个通用的检测函数，在某些关键函数（比如发包前的加密的函数，某个重要操作的函数）里加入调用检测函数（当然要适当使用VMP这类高强度的壳的SDK保护好自己的这套逻辑才好）。
封装一个设置给主线程和某些不明线程的使用的设置标识的函数。
封装一个用于清理的函数。

详情参看如下代码：

首先是头文件部分：

#pragma once
#include <windows.h>
#include <winternl.h>
#include <ntstatus.h>
typedef struct TEB_ACTIVE_FRAME_CONTEXT
{
	/* 0x000 */ ULONG   Flags;
	/* 0x004 */ PSTR    FrameName;

} TEB_ACTIVE_FRAME_CONTEXT, *PTEB_ACTIVE_FRAME_CONTEXT;

typedef struct TEB_ACTIVE_FRAME
{
	/* 0x000 */ ULONG                       Context;  // Flags;
	/* 0x004 */ struct TEB_ACTIVE_FRAME    *Previous;
	/* 0x008 */	PTEB_ACTIVE_FRAME_CONTEXT   pContext;
} TEB_ACTIVE_FRAME, *PTEB_ACTIVE_FRAME;
typedef struct _THREADPARAM_
{
	PVOID Context;
	LPTHREAD_START_ROUTINE Routine;
}THREADPARAM,*PTHREADPARAM;
struct _OWN_THREAD_CONTEXT_ : public TEB_ACTIVE_FRAME
{
	DWORD dwThreadId;
	struct _OWN_THREAD_CONTEXT_ *Own;
};
typedef  VOID (NTAPI *T_RtlPushFrame)(
	PTEB_ACTIVE_FRAME Frame
	);
typedef PTEB_ACTIVE_FRAME (NTAPI *T_RtlGetFrame)(
	VOID
	);

typedef VOID (NTAPI *T_RtlPopFrame)(
	PTEB_ACTIVE_FRAME Frame
	);
#define OWN_THREAD_FLAGS ULONG('MJMJ')
VOID SetOwnThread();//设置当前线程标志
BOOL IsOwnThread();//检测当前线程是否有标志，无标志返回FALSE有返回TRUE
VOID CleanUpOwnThread();//对当前线程清空标志
BOOL _CreateThreadEx(LPTHREAD_START_ROUTINE lpThreadRoutine,LPVOID lparam,PHANDLE pThreadHandle,PDWORD pThreadId);//创建新线程封装函数

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・62

免费・6

支持

最新回复 (30) 1 2 ▶
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 2 楼第一位啊！赶上直播了！ 2013-1-19 14:25 0
asd 雪币： 7098 活跃值： (3667) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 3 楼沙个发 2013-1-19 14:25 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 4 楼顶楼上的楼上 2013-1-19 14:35 0
孤单的狼雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 193 粉丝 0 关注私信	孤单的狼 5 楼顶了个顶 2013-1-19 16:15 0
iwantbmw 雪币： 102 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 100 粉丝 0 关注私信	iwantbmw 6 楼我是来顶V大的 2013-1-19 16:22 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 7 楼启发很好....... 2013-1-19 16:58 0
Fido 雪币： 107 活跃值： (399) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 8 楼学习................ 2013-1-19 17:45 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 9 楼不错.好厉害 2013-1-19 17:55 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 10 楼支持老V。。。。。。。。。。。。。。。。。。。。 2013-1-19 19:02 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 11 楼 good~~~~~~~~~~~~~~ 2013-1-20 10:20 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 12 楼看看,膜拜123456 2013-1-20 11:57 0
livecto 雪币： 17 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	livecto 13 楼顶下..这个方法牛X. 2013-1-21 09:48 0
莫灰灰雪币： 2271 活跃值： (2160) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 14 楼思路不错。 —— 2013-1-22 20:30 0
wodexinren 雪币： 74 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 15 楼支持老V不解释 2013-1-22 20:55 0
korall 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	korall 16 楼用 TLS 怎么样？ 2013-1-22 22:29 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 17 楼来学习一下，好资料顶个 2013-1-23 01:48 0
琳子老公雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 51 粉丝 0 关注私信	琳子老公 18 楼老V出品必属精华，先顶再看 2013-1-23 13:51 0
linhanshi 雪币： 97697 活跃值： (200734) 能力值： (RANK：10 ) 在线值：发帖 9245 回帖 27942 粉丝 450 关注私信	linhanshi 19 楼 Thanks for share. 2013-1-24 11:28 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 20 楼对于3D游戏这样的大工程，显然有很多弊病，不然还不如逐级使用VMP SDK（一些循环费时都函数就不VM了，因为大部分游戏，最多返回8-9层就到了消息层了）。一个更好的方法是从鼠标键盘消息层就加入检测函数，然后在发包加密层对相应的动作发包时做检测（选几个典型的动作就行了，比如走路捡物）。 2013-1-24 16:41 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 21 楼大型3D游戏的工程更简单（小工程因为作坊式开发导致问题多多多多），一般在线程类的创建和回收的代码里加2个函数就搞定了~ 检测就直接放在明文包或者加密的地方（几个OnXXX函数上）就完了，2GB代码量的某个游戏修改15行代码就完成这个事儿~~ 2013-1-24 18:51 0
KooJiSung 雪币： 357 活跃值： (3378) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 22 楼我一般在TEB里设置东西.. 7DF0FABA RtlGetFrame 64:A1 18000000 MOV EAX,FS:[18] 7DF0FAC0 8B80 B00F0000 MOV EAX,[EAX+FB0] 7DF0FAC6 C3 RETN 7D862C95 TlsGetValue 8BFF MOV EDI,EDI 7D862C97 55 PUSH EBP 7D862C98 8BEC MOV EBP,ESP 7D862C9A 64:A1 18000000 MOV EAX,FS:[18] 7D862CA0 8B4D 08 MOV ECX,[EBP+8] 7D862CA3 8360 34 00 AND DWORD PTR [EAX+34],0 7D862CA7 83F9 40 CMP ECX,40 7D862CAA 73 09 JNB SHORT 7D862CB5 7D862CAC 8B8488 100E0000 MOV EAX,[EAX+ECX4+E10] 7D862CB3 EB 14 JMP SHORT 7D862CC9 7D862CB5 81F9 40040000 CMP ECX,440 7D862CBB 72 10 JB SHORT 7D862CCD 7D862CBD 68 0D0000C0 PUSH C000000D 7D862CC2 E8 9B390200 CALL 7D886662 7D862CC7 33C0 XOR EAX,EAX 7D862CC9 5D POP EBP 7D862CCA C2 0400 RETN 4 7D862CCD 8B80 940F0000 MOV EAX,[EAX+F94] 7D862CD3 85C0 TEST EAX,EAX 7D862CD5 ^ 74 F0 JE SHORT 7D862CC7 7D862CD7 8B8488 00FFFFFF MOV EAX,[EAX+ECX4-100] 7D862CDE ^ EB E9 JMP SHORT 7D862CC9 2013-1-24 19:24 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 23 楼看不懂。。。这样和自己用一个map保存有什么区别？ 2013-1-24 20:52 0
Edvvard 雪币： 1318 活跃值： (149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	Edvvard 1 24 楼 Thanks for share. 2013-1-24 21:07 0
dico 雪币： 94 活跃值： (465) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 0 关注私信	dico 25 楼这个系统能通用么？兼容性怎么样？64位OK？ 2013-1-25 08:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 2 楼第一位啊！赶上直播了！ 2013-1-19 14:25 0
asd 雪币： 7098 活跃值： (3667) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 161 粉丝 1 关注私信	asd 3 楼沙个发 2013-1-19 14:25 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 4 楼顶楼上的楼上 2013-1-19 14:35 0
孤单的狼雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 193 粉丝 0 关注私信	孤单的狼 5 楼顶了个顶 2013-1-19 16:15 0
iwantbmw 雪币： 102 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 100 粉丝 0 关注私信	iwantbmw 6 楼我是来顶V大的 2013-1-19 16:22 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 7 楼启发很好....... 2013-1-19 16:58 0
Fido 雪币： 107 活跃值： (399) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 8 楼学习................ 2013-1-19 17:45 0
蓝色妖女雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 149 粉丝 0 关注私信	蓝色妖女 9 楼不错.好厉害 2013-1-19 17:55 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 10 楼支持老V。。。。。。。。。。。。。。。。。。。。 2013-1-19 19:02 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 11 楼 good~~~~~~~~~~~~~~ 2013-1-20 10:20 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 12 楼看看,膜拜123456 2013-1-20 11:57 0
livecto 雪币： 17 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	livecto 13 楼顶下..这个方法牛X. 2013-1-21 09:48 0
莫灰灰雪币： 2271 活跃值： (2160) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 14 楼思路不错。 —— 2013-1-22 20:30 0
wodexinren 雪币： 74 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 15 楼支持老V不解释 2013-1-22 20:55 0
korall 雪币： 228 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	korall 16 楼用 TLS 怎么样？ 2013-1-22 22:29 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 17 楼来学习一下，好资料顶个 2013-1-23 01:48 0
琳子老公雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 51 粉丝 0 关注私信	琳子老公 18 楼老V出品必属精华，先顶再看 2013-1-23 13:51 0
linhanshi 雪币： 97697 活跃值： (200734) 能力值： (RANK：10 ) 在线值：发帖 9245 回帖 27942 粉丝 450 关注私信	linhanshi 19 楼 Thanks for share. 2013-1-24 11:28 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 20 楼对于3D游戏这样的大工程，显然有很多弊病，不然还不如逐级使用VMP SDK（一些循环费时都函数就不VM了，因为大部分游戏，最多返回8-9层就到了消息层了）。一个更好的方法是从鼠标键盘消息层就加入检测函数，然后在发包加密层对相应的动作发包时做检测（选几个典型的动作就行了，比如走路捡物）。 2013-1-24 16:41 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 21 楼大型3D游戏的工程更简单（小工程因为作坊式开发导致问题多多多多），一般在线程类的创建和回收的代码里加2个函数就搞定了~ 检测就直接放在明文包或者加密的地方（几个OnXXX函数上）就完了，2GB代码量的某个游戏修改15行代码就完成这个事儿~~ 2013-1-24 18:51 0
KooJiSung 雪币： 357 活跃值： (3378) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 22 楼我一般在TEB里设置东西.. 7DF0FABA RtlGetFrame 64:A1 18000000 MOV EAX,FS:[18] 7DF0FAC0 8B80 B00F0000 MOV EAX,[EAX+FB0] 7DF0FAC6 C3 RETN 7D862C95 TlsGetValue 8BFF MOV EDI,EDI 7D862C97 55 PUSH EBP 7D862C98 8BEC MOV EBP,ESP 7D862C9A 64:A1 18000000 MOV EAX,FS:[18] 7D862CA0 8B4D 08 MOV ECX,[EBP+8] 7D862CA3 8360 34 00 AND DWORD PTR [EAX+34],0 7D862CA7 83F9 40 CMP ECX,40 7D862CAA 73 09 JNB SHORT 7D862CB5 7D862CAC 8B8488 100E0000 MOV EAX,[EAX+ECX4+E10] 7D862CB3 EB 14 JMP SHORT 7D862CC9 7D862CB5 81F9 40040000 CMP ECX,440 7D862CBB 72 10 JB SHORT 7D862CCD 7D862CBD 68 0D0000C0 PUSH C000000D 7D862CC2 E8 9B390200 CALL 7D886662 7D862CC7 33C0 XOR EAX,EAX 7D862CC9 5D POP EBP 7D862CCA C2 0400 RETN 4 7D862CCD 8B80 940F0000 MOV EAX,[EAX+F94] 7D862CD3 85C0 TEST EAX,EAX 7D862CD5 ^ 74 F0 JE SHORT 7D862CC7 7D862CD7 8B8488 00FFFFFF MOV EAX,[EAX+ECX4-100] 7D862CDE ^ EB E9 JMP SHORT 7D862CC9 2013-1-24 19:24 0
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 23 楼看不懂。。。这样和自己用一个map保存有什么区别？ 2013-1-24 20:52 0
Edvvard 雪币： 1318 活跃值： (149) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	Edvvard 1 24 楼 Thanks for share. 2013-1-24 21:07 0
dico 雪币： 94 活跃值： (465) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 0 关注私信	dico 25 楼这个系统能通用么？兼容性怎么样？64位OK？ 2013-1-25 08:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复