TP 是国内腾讯游戏一款比较流行的驱动级保护程序.
负责保护腾讯每款游戏不被修改破坏,
也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会 例如OD与CE无法进行如以下操作:
无法附加进程,
无法打开进程,
游戏进程被隐藏无法在工具中查看到,
内存无法读取代码
内存修改后游戏掉线
无法双机进行调试
出现SX非法模块提示 `
其实以上说的这么多限制 都是因为TP保护造成的.其实这些东西研究了很久后,发现其实就是黑色老大常说的APIHOOK这方面. 7%E1F)%
例如DNF的TP保护就是HOOK了以下几个API函数来禁止上面刚才说的那些:
NtOpenThread //这是TP防止调试器在它体内创建线程
NtOpenProcess //这是TP防止OD等在进程列表看到游戏进程
KiAttachProcess //这是TP防止其他软件附加它
NtReadVirtualMemory //这是TP防止别人读取它的内存
NtWriteVirtualMemory //这是TP防止别人在它的内存里面乱写乱画
KDCOM.dll:KdReceivePacket //这是TP这两个是COM串口的接受和发送数据
KDCOM.dll:KdSendPacket //这是TP主要用来方式别人双机调试,TP使用了KdDisableDebugger来禁用双机调试.
TP通过将以上这几个API进行HOOK后 来保护游戏, 看过独立团第四版本易语言辅助教程的人 应该知道 以上的那几个API函数 开头是 Nt 的吧
Nt开头的是ntdll.dll库中的函数,也正是黑色衬衣老大在第四版本易语言辅助教程中有一篇课程是讲 SSDTHOOK与恢复这方面的.
那么TP保护它比较变态,并对debugport进行了疯狂的清零操作甚至还包括EPROCESS+70\+74\+78等几处位置处理的手段通常都是向64端口写入FE导致计算机被重启。
下面我简单看说下以上关键的几个APIHOOK:
1.KiAttachProcess 函数
2.NtReadVirtualMemory 内存函数
3.NtWriteVirtualMemory 内存函数
4.NtOpenThread 线程函数
5.NtOpenProcess 进程函数
那么前3个函数是可以直接SSDT恢复的 第四版本易语言辅助教程老大讲了如何恢复的 不明白的可以自己去看教程。
第4个函数是有监视,如果直接恢复的话电脑会即刻重启.(TP蛮变态)
第5个函数和ring3有驱动通信,直接恢复这个函数的话 游戏会在1分钟内弹出SX非法模块提示.
既然我们现在知道了TP保护的保护特点和这几个API分析后的结果.
接下来就是要做出相应的解除TP保护(也就是这些APIHOOK)
下面我在梳理一下头绪给出相应的解决方案
1.首先直接恢复 第1、2、3处的SSDT表中的HOOK
2.绕过4、5处的HOOK 不采用直接恢复
3.将TP保护程序中的debugport清零的内核线程干掉 停止该线程继续运行.
4.恢复硬件断点
但是要有一个先后的逻辑顺序
因为内核有一个线程负责监视几个地方,必须要先干掉它。
但是这个内容我写在了处理debugport清零的一起,也就是第3步。所以大家在照搬源码的时候注意代码执行次序。
下面我们就开始写解除TP保护的代码,因为本人喜欢C++ 所以是c++编写,如果是使用易语言的话 就自己翻译过来吧
先从简单的工作讲起,恢复1、2、3处的HOOK
KiAttachProcess函数的处理的代码:
01.
02.//////////////////////////////////////////////////////////////////////
03.// 名称: Nakd_KiAttachProcess
04.// 功能: My_RecoveryHook_KiAttachProcess的中继函数
05.// 参数:
06.// 返回:
07.//////////////////////////////////////////////////////////////////////
08.static NAKED VOID Nakd_KiAttachProcess()
09.{
10. __asm
11. {
12. mov edi,edi
13. push ebp
14. mov ebp,esp
15. push ebx
16. push esi
17. mov eax,KiAttachProcessAddress //注意这个是全局变量 BYTE*
18. add eax,7
19. jmp eax
20. }
21.}
22.//////////////////////////////////////////////////////////////////////
23.// 名称: RecoveryHook_KiAttachProcess
24.// 功能: 解除游戏保护对_KiAttachProcess函数的HOOK(DNF)
25.// 参数:
26.// 返回: 状态
27.//////////////////////////////////////////////////////////////////////
28.NTSTATUS My_RecoveryHook_KiAttachProcess()
29.{
30. BYTE *KeAttachProcessAddress = NULL; //KeAttachProcess函数地址
31. BYTE *p;
32. BYTE MovEaxAddress[5] = {0xB8,0,0,0,0}; //
33. BYTE JmpEax[2] = {0xff,0xe0};
34. KIRQL Irql;
35. //特征码
36. BYTE Signature1 = 0x56, //p-1
37. Signature2 = 0x57, //p-2
38. Signature3 = 0x5F, //p-3
39. Signature4 = 0x5E, //p+5
40. Signature5 = 0xE8; //p第一个字节
41.
42. //获得KeAttachProcess地址,然后通过特征码找到
43. //KiAttachProcess的地址
44. KeAttachProcessAddress = (BYTE*)MyGetFunAddress(L"KeAttachProcess");
45. if (KeAttachProcessAddress == NULL)
46. {
47. KdPrint(("KeAttachProcess地址获取失败\n"));
48. return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
49. }
50. //将p指向KeAttachProcess函数开始处
51. p = KeAttachProcessAddress;
52. while (1)
53. {
54. if ((*(p-1) == Signature1) &&
55. (*(p-2) == Signature2) &&
56. (*(p+5) == Signature3) &&
57. (*(p+6) == Signature4) &&
58. (*p == Signature5))
59. {
60. //定位成功后取地址
61. KiAttachProcessAddress = *(PULONG)(p+1)+(ULONG)(p+5);
62. break;
63. }
64.
65. //推动指针
66. p++;
67. }
68.
69. //计算中继函数地址
70. *(ULONG *)(MovEaxAddress+1)=(ULONG)Nakd_KiAttachProcess;
71.
72. WPOFF(); //清除CR0
73. //提升IRQL中断级
74. Irql=KeRaiseIrqlToDpcLevel();
75. //写入
76. RtlCopyMemory(KiAttachProcessAddress,MovEaxAddress,5);
77. RtlCopyMemory(KiAttachProcessAddress+5,JmpEax,2);
78. //恢复Irql
79. KeLowerIrql(Irql);
80. WPON(); //恢复CR0
81.
82. return STATUS_SUCCESS;
83.}
84.
85.
86.
87.// 名称: My_RecoveryHook_NtReadAndWriteMemory
88.// 功能: 解除游戏保护对NtReadVirtualMemory和
89.// NtWriteVirtualMemory的HOOK
90.// 参数:
91.// 返回:
92.//////////////////////////////////////////////////////////////////////
93.NTSTATUS My_RecoveryHook_NtReadAndWriteMemory()
94.{
95. BYTE Push1Ch[2] = {0x6a,0x1c}; //0~2字节
96. BYTE PushAdd[5] = {0x68,0x12,0x34,0x56,0x78}; //NtReadVirtualMemory[物理机]
97. //BYTE PushAdd2[5] = {0x68,0xf0,0x6f,0x4f,0x80}; //NtWriteVirtualMemory[物理机]
98. KIRQL Irql;
99. BYTE *NtReadVirtualMemoryAddress = NULL; //NtReadVirtualMemory的地址
100. BYTE *NtWriteVirtualMemoryAddress = NULL; //NtWriteVirtualMemory的地址
101.
102. //从SSDT表中获取NtReadVirtualMemory函数地址
103. NtReadVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0xBA);
104. if (NtReadVirtualMemoryAddress == NULL)
105. {
106. KdPrint(("NtReadVirtualMemory函数地址获取失败! \n"));
107. return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
108. }
109. //从SSDT表中获取NtWriteVirtualMemory函数地址
110. NtWriteVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0x115);
111. if (NtWriteVirtualMemoryAddress == NULL)
112. {
113. KdPrint(("NtWriteVirtualMemory函数地址获取失败! \n"));
114. return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
115. }
116.
117. WPOFF(); //清除CR0
118. //提升IRQL中断级
119. Irql=KeRaiseIrqlToDpcLevel();
120. //写入
121. RtlCopyMemory(NtReadVirtualMemoryAddress,Push1Ch,2);
122. RtlCopyMemory(NtReadVirtualMemoryAddress+2,PushAdd,5);
123.
124. RtlCopyMemory(NtWriteVirtualMemoryAddress,Push1Ch,2);
125. RtlCopyMemory(NtWriteVirtualMemoryAddress+2,PushAdd,5);
126. //恢复Irql
127. KeLowerIrql(Irql);
128. WPON(); //恢复CR0
129.
130. return STATUS_SUCCESS;
131.}
复制代码下面还有2个API
NtOpenProcess和NtOpenThread这两个函数的处理上不能太鲁莽.
//NtOpenProcess用到的全局变量[为了方便堆栈平衡的处理使用全局变量]
PEPROCESS processEPROCESS = NULL; //保存访问者的EPROCESS
ANSI_STRING p_str1,p_str2; //保存进程名称
BYTE *ObOpenObjectByPointerAddress = NULL; //ObOpenObjectByPointer的地址
BYTE *p_TpHookAddress = NULL; //TP的HOOK函数地址
BYTE *p_ReturnAddress = NULL; //返回到的地址
BYTE *p_MyHookAddress = NULL; //我们的HOOK函数在哪写入
#define DNF_EXE "DNF.exe" //要检索的进程名
//////////////////////////////////////////////////////////////////////
// 名称: Nakd_NtOpenProcess
// 功能: My_RecoveryHook_NtOpenProcess的中继函数
// 参数:
// 返回:
//////////////////////////////////////////////////////////////////////
static NAKED VOID Nakd_NtOpenProcess()
{
//获得调用者的EPROCESS
processEPROCESS = IoGetCurrentProcess();
//将调用者的进程名保存到str1中
RtlInitAnsiString(&p_str1,(ULONG)processEPROCESS+0x174);
//将我们要比对的进程名放入str2
RtlInitAnsiString(&p_str2,DNF_EXE);
if (RtlCompareString(&p_str1,&p_str2,TRUE) == 0)
{
//说明是DNF进程访问了这里
__asm
{
push dword ptr [ebp-38h]
push dword ptr [ebp-24h]
push p_ReturnAddress
mov eax,p_TpHookAddress
jmp eax
}
}
else
{
__asm
{
push dword ptr [ebp-38h]
push dword ptr [ebp-24h]
push p_ReturnAddress
mov eax,ObOpenObjectByPointerAddress
jmp eax
}
}
}
//////////////////////////////////////////////////////////////////////
// 名称: My_RecoveryHook_NtOpenProcess
// 功能: 解除游戏保护对NtOpenProcess的HOOK
// 参数:
// 返回: 状态
//////////////////////////////////////////////////////////////////////
NTSTATUS My_RecoveryHook_NtOpenProcess()
{
BYTE *NtOpenProcessAddress = NULL; //NtOpenProcess的地址
BYTE *p = NULL; //临时
TOP5CODE *top5code = NULL; //保存5字节内容
BYTE JmpAddress[6] = {0xE9,0,0,0,0,0x90};
KIRQL Irql;
//获取NtOpenProcess的地址
NtOpenProcessAddress = (BYTE*)MyGetFunAddress(L"NtOpenProcess");
if (NtOpenProcessAddress == NULL)
{
KdPrint(("NtOpenProcess地址获取失败\n"));
return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
}
//获取ObOpenObjectByPointer的地址
ObOpenObjectByPointerAddress = (BYTE*)MyGetFunAddress(L"ObOpenObjectByPointer");
if (ObOpenObjectByPointerAddress == NULL)
{
KdPrint(("ObOpenObjectByPointer地址获取失败\n"));
return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
}
//将p指向NtOpenProcess函数开始处
p = NtOpenProcessAddress;
//用一个无限循环来判断给定的特征码来确定被HOOK位置
while (1)
{
if ((*(p-7) == 0x50) &&
(*(p-0xE) == 0x56) &&
(*(p+0xd) == 0x50) &&
(*(p+0x16) == 0x3b) &&
(*(p+0x17) == 0xce) &&
(*p == 0xE8) &&
(*(p+5) == 0x8b) &&
(*(p+6) == 0xf8))
{
KdPrint(("%0X \n",(ULONG)p));
break;
}
//推动指针向前走
p++;
}
//将top5code指向 p 的当前处
//用以取出 call [地址] 这5字节里面的地址
top5code = (TOP5CODE*)p;
p_TpHookAddress = (BYTE*)((ULONG)p+5+top5code->address);
//找到我们写入自定义函数的地址
p_MyHookAddress = p-6;
//保存调用ObOpenObjectByPointer函数以后的返回地址
p_ReturnAddress = p+5;
//将一条JMP Nakd_NtOpenProcess写入到数组中
*(ULONG *)(JmpAddress+1)=(ULONG)Nakd_NtOpenProcess - ((ULONG)p_MyHookAddress+5);
WPOFF(); //清除CR0
//提升IRQL中断级
Irql=KeRaiseIrqlToDpcLevel();
//写入
RtlCopyMemory(p_MyHookAddress,JmpAddress,6);
//恢复Irql
KeLowerIrql(Irql);
WPON(); //恢复CR0
return STATUS_SUCCESS;
}
简而言之其原理就是,任何人调用了NtOpenProcess的时候会先进入Nakd_NtOpenProcess函数,我们判断
如果是游戏进程访问的话,就有可能是验证之类的我们转到它自己的函数里面。让它保持与ring3层的通信。否则的话,嘿嘿…你的电脑就自动重新启动咯!
接下来是第3步处理debugport清零的这块了。我想研究TP保护的绝大多数人关心的都是这里了
网络上能搜多到的办法几乎都失效了.有办法的人又不肯放出来,急眼了就自己想了个土办法,虽然不那么时尚。但是绝对的奏效。
简单说下其原理。
我们定位内核模块TxxxSxxx.sys的首地址 然后根据特征码遍历整个模块找到我们需要的地方,然后干掉他们。
那么我们又如何能够通过人工的判断出来到底是哪里在作怪呢
利用syser或Start SoftICE对EPROCESS+BC处设置断点。就可以一层一层的追溯上去了
到底如何用他们,我想大家自己多花点时间在看雪和GOOGLE或者BAIDU上面是不会吃亏的。
由于ZwQuerySystemInformation函数的使用非常繁琐,而且篇幅有限,所以我只给出关键代码,至于这个函数如何使用。
大家可以自己在百度搜索引擎找“枚举内核模块”
下面是 枚举内核模块 和 处理debugport清零的代码
//////////////////////////////////////////////////////////////////////
// 名称: MyEnumKernelModule
// 功能: 枚举内核模块
// 参数: str:内核模块名称
// moduleadd:该模块地址[传出]
// modulesie:该模块大小[传出]
// 返回:
//////////////////////////////////////////////////////////////////////
NTSTATUS MyEnumKernelModule(IN CHAR* str,OUT ULONG *moduleadd,OUT ULONG *modulesie)
{
NTSTATUS status = STATUS_SUCCESS;
ULONG n = 0;
ULONG i = 0;
PSYSTEM_MODULE_INFORMATION_ENTRY module = NULL;
PVOID pbuftmp = NULL;
ANSI_STRING ModuleName1,ModuleName2;
BOOLEAN tlgstst= FALSE; //如果找到了指定模块则设置为TRUE
//利用11号功能枚举内核模块
status = ZwQuerySystemInformation(11, &n, 0, &n);
//申请内存
pbuftmp = ExAllocatePool(NonPagedPool, n);
//再次执行,将枚举结果放到指定的内存区域
status = ZwQuerySystemInformation(11, pbuftmp, n, NULL);
module = (PSYSTEM_MODULE_INFORMATION_ENTRY)((PULONG )pbuftmp + 1 );
//初始化字符串
RtlInitAnsiString(&ModuleName1,str);
//
n = *((PULONG)pbuftmp );
for ( i = 0; i < n; i++ )
{
RtlInitAnsiString(&ModuleName2,&module.ImageName);
//DbgPrint("%d\t0x%08X 0x%08X %s\n",module.LoadOrderIndex,module.Base,module.Size,module.ImageName);
if (RtlCompareString(&ModuleName1,&ModuleName2,TRUE) == 0)
{
DbgPrint("MyEnumKernelModule:%s:%0X \n",ModuleName2.Buffer,module.Base);
*moduleadd = module.Base;
*modulesie = module.Size;
tlgstst = TRUE;
break;
}
}
ExFreePool(pbuftmp);
if tlgstst == FALSE)
{
return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
}
return status;
}
//////////////////////////////////////////////////////////////////////
// 名称: My_Recovery_Debugport
// 功能: 恢复游戏对debugport的清零操作
// 参数:
// 返回:
//////////////////////////////////////////////////////////////////////
NTSTATUS My_Recovery_Debugport()
{
NTSTATUS stats;
BYTE *sd1 = NULL,*sd2 = NULL,*pd = NULL;
ULONG ModuleSize,ModuleAddress,i,number = 0;
BYTE *p;
KIRQL Irql;
BYTE C390[2] = {0xc3,0x90};
//获取指定的内核模块地址和字节数
stats = MyEnumKernelModule("\\??\\c:\\windows\\system32\\tessafe.sys",&ModuleAddress,&ModuleSize);
if (stats == FAILED_TO_OBTAIN_FUNCTION_ADDRESSES)
{
return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
}
KdPrint(("Address:%0X Sie:%d \n",ModuleAddress,ModuleSize));
//特征码
/* sd1特征
p-1:18 p-2:87 p-3:DB p-4:33 p-5:07
p-6:03 p :33 p+1:C0 p+7:3B p+8:D8
sd2特征
p-1:07 p-2:87 p-3:c0 p-4:33 p+14:89
p+15:1c p+16:38
*/
//将P指向内核模块开始处
p = (BYTE*)ModuleAddress + 20;
for (i = 0; i < ModuleSize - 20; i++,p++)
{
//sd1
if ((*(p-1) == 0x18) &&
(*(p-2) == 0x87) &&
(*(p-3) == 0xDB) &&
(*(p-4) == 0x33) &&
(*(p-5) == 0x07) &&
(*(p-6) == 0x03) &&
(*p == 0x33) &&
(*(p+1) == 0xC0) &&
(*(p+7) == 0x3B) &&
(*(p+8) == 0xD8) )
{
KdPrint(("--SD1 -- %0X \n",(ULONG)p));
sd1 = p;
number+=1; //记录已经获取一个特征
}
//sd2
if ((*(p-1) == 0x07) &&
(*(p-2) == 0x87) &&
(*(p-3) == 0xC0) &&
(*(p-4) == 0x33) &&
(*(p+14)== 0x89) &&
(*(p+15)== 0x1C) &&
(*(p+16)== 0x38) &&
(*p == 0xA1))
{
KdPrint(("--SD2 -- %0X \n",(ULONG)p));
sd2 = p;
number+=1; //记录已经获取一个特征
}
//pd
if ((*(p-2) == 0xE3) &&
(*(p-3) == 0xC1) &&
(*(p-7) == 0xF3) &&
(*(p-8) == 0x33) &&
(*(p-10)== 0xEB) &&
(*(p-11)== 0xC1) &&
(*(p+1) == 0xF3) &&
(*(p+2) == 0x42) &&
(*(p+3) == 0x3B) &&
(*(p+4) == 0xD1) &&
(*p == 0x33))
{
KdPrint(("--PD -- %0X \n",(ULONG)p));
pd = p;
number+=1; //记录已经获取一个特征
}
if (number >= 3)
{
KdPrint(("特征 %d ---退出\n",number));
break;
}
}
//首先干掉监视函数
while (1)
{
if ((*(pd-1) == 0xcc) && (*(pd-2) == 0xcc))
{
KdPrint(("pd首地址:%0X \n",(ULONG)pd));
WPOFF(); //清除CR0
//提升IRQL中断级
Irql=KeRaiseIrqlToDpcLevel();
//写入
RtlCopyMemory(pd,C390,2);
//恢复Irql
KeLowerIrql(Irql);
WPON(); //恢复CR0
break;
}
pd--;
}
//干掉2个SD
while (1)
{
if ((*(sd1-1) == 0xcc) && (*(sd1-2) == 0xcc))
{
KdPrint(("sd1首地址:%0X \n",(ULONG)sd1));
WPOFF(); //清除CR0
//提升IRQL中断级
Irql=KeRaiseIrqlToDpcLevel();
//写入
RtlCopyMemory(sd1,C390,2);
//恢复Irql
KeLowerIrql(Irql);
WPON(); //恢复CR0
break;
}
sd1--;
}
while (1)
{
if ((*(sd2-1) == 0xcc) && (*(sd2-2) == 0xcc))
{
KdPrint(("sd2首地址:%0X \n",(ULONG)sd2));
WPOFF(); //清除CR0
//提升IRQL中断级
Irql=KeRaiseIrqlToDpcLevel();
//写入
RtlCopyMemory(sd2,C390,2);
//恢复Irql
KeLowerIrql(Irql);
WPON(); //恢复CR0
break;
}
sd2--;
}
return STATUS_SUCCESS;
}
最后,处理一下硬件断点就可以了这里我们使用到了SSDT HOOK 分别HOOK了 SSDT 表中索引为 0xD5 和 0x55 的函数。 h2% J/69
如果不懂得SSDT HOOK的恢复和枚举。自己看老大的第四版本课程中的 SSDT驱动保护 篇
最后面的我说句话:
大家要善用百度 谷歌等搜索引擎(建议学习google hacking技巧),勤做笔记,
另外GPK\HP\HS的保护,驱动保护新手们都大家不要急,走好每步基础深入下去就可以做到……
[课程]Android-CTF解题方法汇总!