[原创]某超级模块中游戏双开功能实现-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]某超级模块中游戏双开功能实现

发表于: 2013-5-6 18:38 22707

[原创]某超级模块中游戏双开功能实现

易始

2013-5-6 18:38

22707

超级模块中有个双开功能，能够双开腾讯的大部分游戏，例如DNF。于是就下载模块下来分析了一下。

随便在网上找一个用超级模块写的双开工具。然后OD载入，下bp DeleteFileA断点。

为什么要下deleteFile断点，而不是CreateFile，是因为该模块注册驱动文件后就会将驱动文件删除。

下了断点之后点击启动双开的时候，OD断下。查看堆栈，可以看到写出的驱动路径。

将驱动文件拷贝出来，文件大小只有3kb，用IDA打开。

INIT:00010985 ; NTSTATUS __stdcall DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
INIT:00010985                 public DriverEntry
INIT:00010985 DriverEntry     proc near
INIT:00010985
INIT:00010985 DriverObject    = dword ptr  8
INIT:00010985 RegistryPath    = dword ptr  0Ch
INIT:00010985
INIT:00010985                 mov     edi, edi
INIT:00010987                 push    ebp
INIT:00010988                 mov     ebp, esp
INIT:0001098A                 mov     eax, dword_10904
INIT:0001098F                 test    eax, eax
INIT:00010991                 mov     ecx, 0BB40h
INIT:00010996                 jz      short loc_1099C
INIT:00010998                 cmp     eax, ecx
INIT:0001099A                 jnz     short loc_109BF
INIT:0001099C
INIT:0001099C loc_1099C:                              ; CODE XREF: DriverEntry+11j
INIT:0001099C                 mov     edx, ds:KeTickCount
INIT:000109A2                 mov     eax, offset dword_10904
INIT:000109A7                 shr     eax, 8
INIT:000109AA                 xor     eax, [edx]
INIT:000109AC                 and     eax, 0FFFFh
INIT:000109B1                 mov     dword_10904, eax
INIT:000109B6                 jnz     short loc_109BF
INIT:000109B8                 mov     eax, ecx
INIT:000109BA                 mov     dword_10904, eax
INIT:000109BF
INIT:000109BF loc_109BF:                              ; CODE XREF: DriverEntry+15j
INIT:000109BF                                         ; DriverEntry+31j
INIT:000109BF                 not     eax
INIT:000109C1                 mov     dword_10900, eax
INIT:000109C6                 pop     ebp
INIT:000109C7                 jmp     sub_106F8
INIT:000109C7 DriverEntry     endp

.text:000106F8 ; int __stdcall sub_106F8(PDRIVER_OBJECT DeviceObject, int)
.text:000106F8 sub_106F8       proc near               ; CODE XREF: DriverEntry+42j
.text:000106F8
.text:000106F8 SymbolicLinkName= UNICODE_STRING ptr -10h
.text:000106F8 DestinationString= UNICODE_STRING ptr -8
.text:000106F8 DeviceObject    = dword ptr  8
.text:000106F8
.text:000106F8                 mov     edi, edi
.text:000106FA                 push    ebp
.text:000106FB                 mov     ebp, esp
.text:000106FD                 sub     esp, 10h
.text:00010700                 push    esi
.text:00010701                 mov     esi, [ebp+DeviceObject]
.text:00010704                 push    edi
.text:00010705                 mov     edi, ds:RtlInitUnicodeString
.text:0001070B                 push    offset word_106A6 ; SourceString
.text:00010710                 lea     eax, [ebp+DestinationString]
.text:00010713                 push    eax             ; DestinationString
.text:00010714                 mov     dword ptr [esi+38h], offset sub_10486			//设置IRP处理函数
.text:0001071B                 mov     dword ptr [esi+40h], offset sub_10486
.text:00010722                 mov     dword ptr [esi+70h], offset sub_104AA
.text:00010729                 mov     dword ptr [esi+34h], offset sub_10670
.text:00010730                 call    edi ; RtlInitUnicodeString				//初始化设备名称
.text:00010732                 lea     eax, [ebp+DeviceObject]
.text:00010735                 push    eax             ; DeviceObject
.text:00010736                 push    0               ; Exclusive
.text:00010738                 push    0               ; DeviceCharacteristics
.text:0001073A                 push    22h             ; DeviceType
.text:0001073C                 lea     eax, [ebp+DestinationString]
.text:0001073F                 push    eax             ; DeviceName
.text:00010740                 push    0               ; DeviceExtensionSize
.text:00010742                 push    esi             ; DriverObject
.text:00010743                 call    ds:IoCreateDevice					//创建设备
.text:00010749                 test    eax, eax
.text:0001074B                 jl      short loc_10780
.text:0001074D                 push    offset word_106CA ; SourceString
.text:00010752                 lea     eax, [ebp+SymbolicLinkName]
.text:00010755                 push    eax             ; DestinationString
.text:00010756                 call    edi ; RtlInitUnicodeString				//初始化符号链接名称
.text:00010758                 lea     eax, [ebp+DestinationString]
.text:0001075B                 push    eax             ; DeviceName
.text:0001075C                 lea     eax, [ebp+SymbolicLinkName]
.text:0001075F                 push    eax             ; SymbolicLinkName
.text:00010760                 call    ds:IoCreateSymbolicLink					//创建符号链接				
.text:00010766                 mov     esi, eax
.text:00010768                 test    esi, esi
.text:0001076A                 jge     short loc_10779						//创建成功就跳过去
.text:0001076C                 push    [ebp+DeviceObject] ; DeviceObject
.text:0001076F                 call    ds:IoDeleteDevice					//创建失败则删除设备
.text:00010775                 mov     eax, esi
.text:00010777                 jmp     short loc_10780
.text:00010779 ; ---------------------------------------------------------------------------
.text:00010779
.text:00010779 loc_10779:                              ; CODE XREF: sub_106F8+72j
.text:00010779                 call    sub_105C8
.text:0001077E                 xor     eax, eax
.text:00010780
.text:00010780 loc_10780:                              ; CODE XREF: sub_106F8+53j
.text:00010780                                         ; sub_106F8+7Fj
.text:00010780                 pop     edi
.text:00010781                 pop     esi
.text:00010782                 leave
.text:00010783                 retn    8
.text:00010783 sub_106F8       endp

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

del.jpg （33.23kb，16次下载）
43.jpg （188.46kb，22次下载）
superecBGDXi.rar （1.33kb，244次下载）

收藏・44

免费・6

支持

最新回复 (34) 1 2 ▶
辉煌世纪雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 129 粉丝 0 关注私信	辉煌世纪 2 楼谢谢分享 2013-5-6 19:25 0
wodexinren 雪币： 74 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 3 楼感谢分享，mark 2013-5-6 19:47 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 4 楼厉害，又学习了！ 2013-5-6 20:50 0
虫子wq 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	虫子wq 5 楼厉害！。。。学习了！！！！ 2013-5-6 21:31 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 6 楼 TX又退步了?!?!?这是新的?目测应该是前年的了吧 2013-5-6 21:56 0
dayang 雪币： 220 活跃值： (731) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 7 楼用XT看了一下43号???? XT的什么项目里可以看？怎么看啊？ 2013-5-6 22:04 0
dayang 雪币： 220 活跃值： (731) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 8 楼明白了，是我没加载这个SYS，所以在SSDT里没任何信息 2013-5-6 22:10 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 9 楼感谢LZ分享-- 2013-5-6 22:57 0
冬阳春雪雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	冬阳春雪 10 楼 dnf双开 mairk 2013-5-7 06:17 0
langyashan 雪币： 99 活跃值： (96) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 88 粉丝 0 关注私信	langyashan 11 楼用XT看了一下43号即：NtCreateMutant函数。在这句话上面的图，是什么软件？能够列出SSDT各功能号被HOOK 我想起来了，这个软件是XUETR 2013-5-7 06:35 0
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 12 楼双开和多开有没有区别？就用这两个东东判断？太意外了，，意外有很多很多东东等着发现呢，，， 2013-5-7 08:16 0
dancebaby 雪币： 48 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 93 粉丝 0 关注私信	dancebaby 13 楼理解了，哈哈，第一次看明白，mark 2013-5-7 08:18 0
天纵雪币： 32 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	天纵 14 楼好东西，mark一下 2013-5-7 16:17 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 15 楼学习了哈。。。。 2013-5-7 18:56 0
御剑残风雪币： 878 活跃值： (737) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	御剑残风 16 楼学习了...感谢分享！ 2013-5-7 22:28 0
Michael广东雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	Michael广东 17 楼写的很明白，不过怀疑DNF这个有没有这么简单。。。先按楼主的办法回去试试谢谢分享！ 2013-5-8 12:31 0
tiandishiw 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 29 粉丝 0 关注私信	tiandishiw 18 楼顶学习了！ 2013-5-8 17:53 0
stevenlong 雪币： 86 活跃值： (237) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 32 粉丝 0 关注私信	stevenlong 19 楼呵呵,只能双开.......................... 2013-5-8 19:21 0
upupc 雪币： 68 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	upupc 1 20 楼 SetParent CloseHandle 双开很简单，但是多开还有其他的处理机制 2013-5-9 09:47 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 21 楼学习了。。。。 2013-5-11 10:10 0
savip 雪币： 1227 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 18 粉丝 0 关注私信	savip 22 楼 initdrv *.sys 应该可以双开或多开了吧。 2013-5-11 10:29 0
不死小尧雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	不死小尧 23 楼学习了。 2013-5-12 18:50 0
moveaxeax 雪币： 15 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	moveaxeax 24 楼参观学习..... PS:不是还有和tp的通信吗，这双开可以稳定吗？ ----看雪有你更精彩 2013-5-19 13:20 0
moveax 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 12 粉丝 0 关注私信	moveax 25 楼刚试了，这方法现在不能双开 2013-6-24 23:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

易始

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (34) 1 2 ▶
辉煌世纪雪币： 92 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 129 粉丝 0 关注私信	辉煌世纪 2 楼谢谢分享 2013-5-6 19:25 0
wodexinren 雪币： 74 活跃值： (748) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 223 粉丝 0 关注私信	wodexinren 3 楼感谢分享，mark 2013-5-6 19:47 0
透明色雪币： 143 活跃值： (263) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 242 粉丝 8 关注私信	透明色 2 4 楼厉害，又学习了！ 2013-5-6 20:50 0
虫子wq 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	虫子wq 5 楼厉害！。。。学习了！！！！ 2013-5-6 21:31 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 6 楼 TX又退步了?!?!?这是新的?目测应该是前年的了吧 2013-5-6 21:56 0
dayang 雪币： 220 活跃值： (731) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 7 楼用XT看了一下43号???? XT的什么项目里可以看？怎么看啊？ 2013-5-6 22:04 0
dayang 雪币： 220 活跃值： (731) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 8 楼明白了，是我没加载这个SYS，所以在SSDT里没任何信息 2013-5-6 22:10 0
phpskycn 雪币： 110 活跃值： (34) 能力值： (RANK：50 ) 在线值：发帖 29 回帖 395 粉丝 0 关注私信	phpskycn 1 9 楼感谢LZ分享-- 2013-5-6 22:57 0
冬阳春雪雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 44 粉丝 0 关注私信	冬阳春雪 10 楼 dnf双开 mairk 2013-5-7 06:17 0
langyashan 雪币： 99 活跃值： (96) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 88 粉丝 0 关注私信	langyashan 11 楼用XT看了一下43号即：NtCreateMutant函数。在这句话上面的图，是什么软件？能够列出SSDT各功能号被HOOK 我想起来了，这个软件是XUETR 2013-5-7 06:35 0
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 12 楼双开和多开有没有区别？就用这两个东东判断？太意外了，，意外有很多很多东东等着发现呢，，， 2013-5-7 08:16 0
dancebaby 雪币： 48 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 93 粉丝 0 关注私信	dancebaby 13 楼理解了，哈哈，第一次看明白，mark 2013-5-7 08:18 0
天纵雪币： 32 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 30 粉丝 0 关注私信	天纵 14 楼好东西，mark一下 2013-5-7 16:17 0
地狱怪客雪币： 341 活跃值： (143) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 15 楼学习了哈。。。。 2013-5-7 18:56 0
御剑残风雪币： 878 活跃值： (737) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	御剑残风 16 楼学习了...感谢分享！ 2013-5-7 22:28 0
Michael广东雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 46 粉丝 0 关注私信	Michael广东 17 楼写的很明白，不过怀疑DNF这个有没有这么简单。。。先按楼主的办法回去试试谢谢分享！ 2013-5-8 12:31 0
tiandishiw 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 29 粉丝 0 关注私信	tiandishiw 18 楼顶学习了！ 2013-5-8 17:53 0
stevenlong 雪币： 86 活跃值： (237) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 32 粉丝 0 关注私信	stevenlong 19 楼呵呵,只能双开.......................... 2013-5-8 19:21 0
upupc 雪币： 68 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	upupc 1 20 楼 SetParent CloseHandle 双开很简单，但是多开还有其他的处理机制 2013-5-9 09:47 0
zyicai 雪币： 437 活跃值： (78) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 194 粉丝 0 关注私信	zyicai 21 楼学习了。。。。 2013-5-11 10:10 0
savip 雪币： 1227 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 18 粉丝 0 关注私信	savip 22 楼 initdrv *.sys 应该可以双开或多开了吧。 2013-5-11 10:29 0
不死小尧雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	不死小尧 23 楼学习了。 2013-5-12 18:50 0
moveaxeax 雪币： 15 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	moveaxeax 24 楼参观学习..... PS:不是还有和tp的通信吗，这双开可以稳定吗？ ----看雪有你更精彩 2013-5-19 13:20 0
moveax 雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 12 粉丝 0 关注私信	moveax 25 楼刚试了，这方法现在不能双开 2013-6-24 23:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复