[原创]（原创）Win7下过Hack*Shield的部分驱动保护-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]（原创）Win7下过Hack*Shield的部分驱动保护

发表于: 2013-6-11 16:13 8581

[原创]（原创）Win7下过Hack*Shield的部分驱动保护

绿林科技

2013-6-11 16:13

8581

// 安装驱动的线程函数
UINT __cdecl CDriverProtectDlg::InstallDriverThread(LPVOID pParam)
{
    CDriverProtectDlg* pDlg = NULL;
    pDlg = (CDriverProtectDlg*)pParam;
    pDlg->UpdateData(TRUE);
    if (pDlg->strPath.IsEmpty())
    {
        AfxMessageBox(L"请选择驱动路径！");
        return 0;
    }
    if (pDlg->strrGamePath.IsEmpty())
    {
        AfxMessageBox(L"请选择游戏路径！");
        return 0;
    }
    if (!pDlg->LoadNTDriver(L"HelloDDK",pDlg->strPath.GetBuffer()))
    {
        pDlg->UnloadNTDriver(L"HelloDDK");
        pDlg->LoadNTDriver(L"HelloDDK",pDlg->strPath.GetBuffer());
    }
    HANDLE hDevice = 
        ::CreateFileW(L"\\\\.\\HelloDDK",
        GENERIC_READ | GENERIC_WRITE,
        0,      // share mode none
        NULL,   // no security
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,
        NULL );     // no template
    if (hDevice == INVALID_HANDLE_VALUE)
    {
        pDlg->m_DriverINFORMATION.SetWindowTextW(L"打开驱动错误！");
        return 1;
    }
    DWORD Pid = pDlg->TransferProcessID(pDlg->strrGamePath.GetBuffer());
    int a = (int)Pid;
    UCHAR* InputBuffer = new UCHAR[a];
    UCHAR* OutputBuffer= new UCHAR[a];
    BOOL bRet;
    DWORD dwOutput;
    //输入缓冲区作为输入，输出缓冲区作为输出
    bRet = DeviceIoControl(hDevice, IOCTL_TEST1, InputBuffer, a, OutputBuffer, a, &dwOutput, NULL);
    if (bRet)
    {
        pDlg->m_DriverINFORMATION.SetWindowTextW(L"开启保护成功！");
    }
    CloseHandle(hDevice);
    delete []InputBuffer;
    delete []OutputBuffer;
    //AfxEndThread(0);
    ResumeThread(pDlg->ProcessMainThread);
    pDlg = NULL;
    return 0;
}
UINT __cdecl CDriverProtectDlg::UnInstallDriverThread(LPVOID pParam)
{
    CDriverProtectDlg* pDlg = NULL;
    pDlg = (CDriverProtectDlg*)pParam;
    pDlg->UpdateData(TRUE);
    if (pDlg->strPath.IsEmpty())
    {
        AfxMessageBox(L"请选择驱动路径！");
        return 0;
    }
    if (pDlg->strrGamePath.IsEmpty())
    {
        AfxMessageBox(L"请选择游戏路径！");
        return 0;
    }
    pDlg->UnloadNTDriver(L"HelloDDK");
    //AfxEndThread(0);
    pDlg = NULL;
    return 0;
}

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

上传的附件：

DriverProtect.rar （134.39kb，186次下载）
driver.rar （44.48kb，115次下载）

收藏・14

免费・5

支持

赞赏记录

参与人

雪币

留言

时间

心游尘世外

为你点赞~

2024-5-31 05:16

QinBeast

为你点赞~

2024-5-31 05:09

飘零丶

为你点赞~

2024-4-3 00:32

shinratensei

为你点赞~

2024-2-10 01:04

PLEBFE

为你点赞~

2023-3-7 00:32

最新回复 (8)
绿林科技雪币： 19 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 63 粉丝 4 关注私信	绿林科技 2 楼本人顺便录制了一个教程去讲解代码： http://pan.baidu.com/share/link?shareid=2793896342&uk=3155594444 2013-6-11 16:20 0
谢逅雪币： 92 活跃值： (209) 能力值： ( LV6，RANK：95 ) 在线值：发帖 6 回帖 90 粉丝 0 关注私信	谢逅 2 3 楼能调试了？？？ 2013-7-4 07:26 0
simile 雪币： 218 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	simile 4 楼 XP 下蓝屏。。改个XP 下的驱动来试试。 2013-7-4 13:28 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 5 楼 HS还有很多检测，像不断检测是否hook被还原，DPC被删掉；而中途启用内核调试会立刻重启。至于R3下的hook我就无语了，用XT一看数不清的IAT,inline hook，完全不考虑游戏的效率。 2013-7-4 14:08 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 6 楼 r3是TMD壳的dll reload功能 2013-7-4 15:08 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 7 楼貌似还会释放很多.tmp，好像把ntdll等重载了那样，而且属于IAT hook 2013-7-4 15:15 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 8 楼 tmp其实就是dll文件，都是Copyfile过去的~ 2013-7-4 15:31 0
绿林科技雪币： 19 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 63 粉丝 4 关注私信	绿林科技 9 楼其实部分也可以用重载内核实现的！ 2013-7-14 17:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

绿林科技

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
绿林科技雪币： 19 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 63 粉丝 4 关注私信	绿林科技 2 楼本人顺便录制了一个教程去讲解代码： http://pan.baidu.com/share/link?shareid=2793896342&uk=3155594444 2013-6-11 16:20 0
谢逅雪币： 92 活跃值： (209) 能力值： ( LV6，RANK：95 ) 在线值：发帖 6 回帖 90 粉丝 0 关注私信	谢逅 2 3 楼能调试了？？？ 2013-7-4 07:26 0
simile 雪币： 218 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	simile 4 楼 XP 下蓝屏。。改个XP 下的驱动来试试。 2013-7-4 13:28 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 5 楼 HS还有很多检测，像不断检测是否hook被还原，DPC被删掉；而中途启用内核调试会立刻重启。至于R3下的hook我就无语了，用XT一看数不清的IAT,inline hook，完全不考虑游戏的效率。 2013-7-4 14:08 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 6 楼 r3是TMD壳的dll reload功能 2013-7-4 15:08 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 7 楼貌似还会释放很多.tmp，好像把ntdll等重载了那样，而且属于IAT hook 2013-7-4 15:15 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 243 关注私信	cvcvxk 10 8 楼 tmp其实就是dll文件，都是Copyfile过去的~ 2013-7-4 15:31 0
绿林科技雪币： 19 活跃值： (108) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 63 粉丝 4 关注私信	绿林科技 9 楼其实部分也可以用重载内核实现的！ 2013-7-14 17:20 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]（原创）Win7下过Hack*Shield的部分驱动保护

账号登录 验证码登录

账号登录

验证码登录