[原创]MrleeProtect游戏保护-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]MrleeProtect游戏保护

发表于: 2013-2-25 09:18 28608

[原创]MrleeProtect游戏保护

不歪

2013-2-25 09:18

28608

MrleeProtect驱动保护，是我写的一个功能较为完善且稳定的一个保护。因为MP保护的文件有很多，而且还有R3层的部分，经过讲解视频的讲解和配合完善的注释，可以让大家对于保护的流程和功能有更清晰更快的理解。
注意：
1. 此套保护仅在Windows XP SP3系统上做过测试。
2. 保护程序是在VS2010环境下编译的。

MrleeProtect效果：
1. 防止受保护进程被未授权的进程暂停。如，OD在附加进程的时候是要将目标进程暂停的，有了MP保护以后，OD将无法附加进程，因为OD无法将受保护的进程暂停。
2. 防止受保护进程中的数据被修改。如，CE无法修改受保护的进程的内存数据。
3. 当受保护进程中的内存数据被未授权的进程修改的时候，会有提示。
4. 防止受保护的进程被未授权的进程结束。如，用任务管理器去结束受保护程序的进程，将失败。
5. OD选择要附加进程的时候将找不到受保护的进程。
6. 当OD附加受保护的进程时将发生错误。
7. 如果用如类似XueTr的工具将MP保护的inline hook恢复，那么MP保护将会检测到。
8. MP保护开启后可以一定程度的阻止调试程序，如OD、CE、XueTr、WinDbg等的开启。

关于这个保护，我最满意的不是上面所列出来的功能，而是：
1. 这套保护糅合了上面的功能以后还“比较”稳定，这真的是非常难得的。因为花在维持保护稳定性的时间远远比实现其中的功能要多得多。
2. 易于根据需求做功能的扩展。
所以这套保护在我眼里已经超出了练习的范畴，我更愿意认为它是一个准产品。
当然不可否认的是，测试此套驱动的大部分时间都是在虚拟机中进行测试的，所以没有考虑到与其他驱动之间的兼容性问题，而且也有较小的蓝屏风险，所以大家要是发现此套驱动的bug或想一起完善的话请发邮件到：873542509@qq.com，我真诚的欢迎。

【源代码、讲解视频、效果图地址】：
http://pan.baidu.com/share/link?shareid=352927&uk=1778395250

代码：
MFC: MrleeProtectMFC.rar
Driver： MrleeProtect.rar

[课程]Linux pwn 探索篇！

上传的附件：

MrleeProtectMFC.rar （139.53kb，442次下载）
MrleeProtect.rar （1.00MB，482次下载）

收藏・73

免费・6

支持

最新回复 (56) 1 2 3 ▶
jordonA 雪币： 66 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 89 粉丝 0 关注私信	jordonA 2 楼顶一个，学习了。 2013-2-25 09:34 0
neineit 雪币： 397 活跃值： (352) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 3 楼多谢lz分享，感谢。。。 2013-2-25 09:46 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 4 楼我用的是VS2008 。。。 2013-2-25 09:47 0
Crakme 雪币： 2190 活跃值： (981) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 5 楼值得学习，做驱动保护真心不容易 2013-2-25 10:57 0
jimdlf 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 61 粉丝 0 关注私信	jimdlf 6 楼已经下载看完了你的视频看的出很用心感谢 2013-2-25 10:58 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 7 楼多谢lz分享，感谢。。。 2013-2-25 11:30 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 8 楼太多的各种HOOK了，没hook做不了事情么。。。。。 2013-2-25 11:49 0
gdutlison 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	gdutlison 9 楼在编译驱动的时候出现错误。。。我是WinXP SP3和VS2010，是怎么回事？难道是我环境不对么。。 1>------ 已启动生成: 项目: MrleeProtect, 配置: Debug Win32 ------ 1>生成启动时间为 2013-2-25 15:08:16。 1>Build: 1> 系统找不到指定的路径。 1> 'build' 不是内部或外部命令，也不是可运行的程序 1> 或批处理文件。 1>C:\Program Files\MSBuild\Microsoft.Cpp\v4.0\Microsoft.MakeFile.Targets(38,5): error MSB3073: 命令“call \bin\setenv.bat chk wxp 1>C:\Program Files\MSBuild\Microsoft.Cpp\v4.0\Microsoft.MakeFile.Targets(38,5): error MSB3073: cd /d E:\MrleeProtect\ 1>C:\Program Files\MSBuild\Microsoft.Cpp\v4.0\Microsoft.MakeFile.Targets(38,5): error MSB3073: build”已退出，代码为 9009。 1> 1>生成失败。 1> 1>已用时间 00:00:00.06 ========== 生成: 成功 0 个，失败 1 个，最新 0 个，跳过 0 个 ========== 2013-2-25 15:10 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 10 楼 MrleeProtect VS EasyDebugger MrleeProtect VS AGP 谁将获胜？ 2013-2-25 15:36 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 11 楼 MrleeProtect VS EasyDebugger MrleeProtect VS AGP 谁将获胜？ 2013-2-25 15:36 0
ropopo 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 44 粉丝 0 关注私信	ropopo 12 楼 MrleeProtect 目前也只是开发阶段，尚不成熟，不会成为AGP的攻击目标的 2013-2-25 15:45 0
不歪雪币： 144 活跃值： (224) 能力值： ( LV7，RANK：100 ) 在线值：发帖 35 回帖 63 粉丝 8 关注私信	不歪 2 13 楼我用VS2010编译是因为我安装了VisualDDK的插件 2013-2-25 15:46 0
不歪雪币： 144 活跃值： (224) 能力值： ( LV7，RANK：100 ) 在线值：发帖 35 回帖 63 粉丝 8 关注私信	不歪 2 14 楼如果成为EasyDebugger和AGP的目标，我将感到很荣幸。 2013-2-25 15:49 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 15 楼帮LZ上传了份本地代码，多谢分享。 2013-2-25 16:24 0
不歪雪币： 144 活跃值： (224) 能力值： ( LV7，RANK：100 ) 在线值：发帖 35 回帖 63 粉丝 8 关注私信	不歪 2 16 楼感觉一下子又有动力了。 2013-2-25 16:26 0
gdutlison 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	gdutlison 17 楼昨天我也刚刚开始接触驱动开发，在看那本《寒江独钓***》的书，不过里面的开发环境用起来貌似不太方便。能否告诉下你的开发环境怎么搭建的？ 2013-2-25 17:01 0
loqich 雪币： 962 活跃值： (1681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 18 楼用vs2012 + wdk8.0吧。。。。原生支持驱动编译和源码级双机调试 2013-2-25 17:05 0
gdutlison 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	gdutlison 19 楼单机调试会不会比双机调试要方便些？ 2013-2-25 17:16 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 20 楼也许是吧,不过蓝屏也更方便一些. 2013-2-25 17:19 0
不歪雪币： 144 活跃值： (224) 能力值： ( LV7，RANK：100 ) 在线值：发帖 35 回帖 63 粉丝 8 关注私信	不歪 2 21 楼看样子，晚上我回去以后要再做一个怎么搭建环境的视频。 2013-2-25 17:27 0
鬼谷子c 雪币： 507 活跃值： (120) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 261 粉丝 6 关注私信	鬼谷子c 1 22 楼谢谢楼主的精心制作，视频资料很好，已经收藏了，虽然现在看起来有点费劲，不过以后用得到的时候，再来翻阅，再次标示感谢~ 2013-2-25 17:33 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 139 关注私信	熊猫正正 9 23 楼膜败中...... 2013-2-25 17:42 0
loqich 雪币： 962 活跃值： (1681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 24 楼单机调试蓝屏要重启相当不爽，还是虚拟机的双机好一些 2013-2-25 17:52 0
cooop 雪币： 43 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	cooop 25 楼还没有看源码，不过很好奇楼主是怎么分辨已授权的进程和未授权的进程的。^_^~ 2013-2-25 18:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

不歪

发帖

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (56) 1 2 3 ▶
jordonA 雪币： 66 活跃值： (1880) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 89 粉丝 0 关注私信	jordonA 2 楼顶一个，学习了。 2013-2-25 09:34 0
neineit 雪币： 397 活跃值： (352) 能力值： ( LV9，RANK：410 ) 在线值：发帖 19 回帖 224 粉丝 2 关注私信	neineit 10 3 楼多谢lz分享，感谢。。。 2013-2-25 09:46 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 4 楼我用的是VS2008 。。。 2013-2-25 09:47 0
Crakme 雪币： 2190 活跃值： (981) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 378 粉丝 0 关注私信	Crakme 5 楼值得学习，做驱动保护真心不容易 2013-2-25 10:57 0
jimdlf 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 61 粉丝 0 关注私信	jimdlf 6 楼已经下载看完了你的视频看的出很用心感谢 2013-2-25 10:58 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 7 楼多谢lz分享，感谢。。。 2013-2-25 11:30 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 8 楼太多的各种HOOK了，没hook做不了事情么。。。。。 2013-2-25 11:49 0
gdutlison 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	gdutlison 9 楼在编译驱动的时候出现错误。。。我是WinXP SP3和VS2010，是怎么回事？难道是我环境不对么。。 1>------ 已启动生成: 项目: MrleeProtect, 配置: Debug Win32 ------ 1>生成启动时间为 2013-2-25 15:08:16。 1>Build: 1> 系统找不到指定的路径。 1> 'build' 不是内部或外部命令，也不是可运行的程序 1> 或批处理文件。 1>C:\Program Files\MSBuild\Microsoft.Cpp\v4.0\Microsoft.MakeFile.Targets(38,5): error MSB3073: 命令“call \bin\setenv.bat chk wxp 1>C:\Program Files\MSBuild\Microsoft.Cpp\v4.0\Microsoft.MakeFile.Targets(38,5): error MSB3073: cd /d E:\MrleeProtect\ 1>C:\Program Files\MSBuild\Microsoft.Cpp\v4.0\Microsoft.MakeFile.Targets(38,5): error MSB3073: build”已退出，代码为 9009。 1> 1>生成失败。 1> 1>已用时间 00:00:00.06 ========== 生成: 成功 0 个，失败 1 个，最新 0 个，跳过 0 个 ========== 2013-2-25 15:10 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 10 楼 MrleeProtect VS EasyDebugger MrleeProtect VS AGP 谁将获胜？ 2013-2-25 15:36 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 11 楼 MrleeProtect VS EasyDebugger MrleeProtect VS AGP 谁将获胜？ 2013-2-25 15:36 0
ropopo 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 44 粉丝 0 关注私信	ropopo 12 楼 MrleeProtect 目前也只是开发阶段，尚不成熟，不会成为AGP的攻击目标的 2013-2-25 15:45 0
不歪雪币： 144 活跃值： (224) 能力值： ( LV7，RANK：100 ) 在线值：发帖 35 回帖 63 粉丝 8 关注私信	不歪 2 13 楼我用VS2010编译是因为我安装了VisualDDK的插件 2013-2-25 15:46 0
不歪雪币： 144 活跃值： (224) 能力值： ( LV7，RANK：100 ) 在线值：发帖 35 回帖 63 粉丝 8 关注私信	不歪 2 14 楼如果成为EasyDebugger和AGP的目标，我将感到很荣幸。 2013-2-25 15:49 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 15 楼帮LZ上传了份本地代码，多谢分享。 2013-2-25 16:24 0
不歪雪币： 144 活跃值： (224) 能力值： ( LV7，RANK：100 ) 在线值：发帖 35 回帖 63 粉丝 8 关注私信	不歪 2 16 楼感觉一下子又有动力了。 2013-2-25 16:26 0
gdutlison 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	gdutlison 17 楼昨天我也刚刚开始接触驱动开发，在看那本《寒江独钓***》的书，不过里面的开发环境用起来貌似不太方便。能否告诉下你的开发环境怎么搭建的？ 2013-2-25 17:01 0
loqich 雪币： 962 活跃值： (1681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 18 楼用vs2012 + wdk8.0吧。。。。原生支持驱动编译和源码级双机调试 2013-2-25 17:05 0
gdutlison 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 45 粉丝 0 关注私信	gdutlison 19 楼单机调试会不会比双机调试要方便些？ 2013-2-25 17:16 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 20 楼也许是吧,不过蓝屏也更方便一些. 2013-2-25 17:19 0
不歪雪币： 144 活跃值： (224) 能力值： ( LV7，RANK：100 ) 在线值：发帖 35 回帖 63 粉丝 8 关注私信	不歪 2 21 楼看样子，晚上我回去以后要再做一个怎么搭建环境的视频。 2013-2-25 17:27 0
鬼谷子c 雪币： 507 活跃值： (120) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 261 粉丝 6 关注私信	鬼谷子c 1 22 楼谢谢楼主的精心制作，视频资料很好，已经收藏了，虽然现在看起来有点费劲，不过以后用得到的时候，再来翻阅，再次标示感谢~ 2013-2-25 17:33 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 139 关注私信	熊猫正正 9 23 楼膜败中...... 2013-2-25 17:42 0
loqich 雪币： 962 活跃值： (1681) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 24 楼单机调试蓝屏要重启相当不爽，还是虚拟机的双机好一些 2013-2-25 17:52 0
cooop 雪币： 43 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	cooop 25 楼还没有看源码，不过很好奇楼主是怎么分辨已授权的进程和未授权的进程的。^_^~ 2013-2-25 18:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复