[原创]自写保护系统——驱动保护-软件逆向-看雪论坛-安全社区|非营利性质技术交流社区

[原创]自写保护系统——驱动保护

发表于: 2013-6-26 17:42 9274

[原创]自写保护系统——驱动保护

sam张

2013-6-26 17:42

9274

   我是个小菜，第1次写驱动保护..。

      我这次写的驱动保护默认的是calc.exe文件(先运行 calc 文件，然后再加载驱动就OK了)

       实现了3个功能：

                              1. OD加载保护
                              2. 硬件断点保护
                              3. calc 主模块保护， 0x01000000 - 0x0101f000

        因为是第1次写，有点不堪入目，才用 xp 测稳定(因为硬性条件问题)，但是win7 应该也没问题，希望大家可以帮忙测试下，然后给个反馈，或者去过一下这保护，提供给

我宝贵的意见..。

        PS: 一直在家闲着，本来准备写个好点的游戏公司做做驱动保护的，谁知道各种曲折和不稳定，到现在才算能勉勉强强的拿出手！！！

           我想这个其他功能只有等有时间再来完善了！

有认识正规游戏公司招驱动保护的希望大家可以帮偶看看..。

[培训]传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

DriverProtection.zip （49.56kb，129次下载）

收藏・5

免费・0

支持

最新回复 (19)
Rookietp 雪币： 1047 活跃值： (766) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 804 粉丝 2 关注私信	Rookietp 2 楼楼主怎么发了两个贴，，LZ就发一个BIN？？ 2013-6-26 17:53 0
viphack 雪币： 217 活跃值： (978) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1010 粉丝 44 关注私信	viphack 4 3 楼自己加载吧~~ 2013-6-26 17:53 0
JoenChen 雪币： 6856 活跃值： (1857) 能力值： ( LV11，RANK：180 ) 在线值：发帖 12 回帖 176 粉丝 56 关注私信	JoenChen 4 4 楼侧漏了. 2013-6-26 18:00 0
besterChen 雪币： 168 活跃值： (157) 能力值： ( LV11，RANK：180 ) 在线值：发帖 10 回帖 181 粉丝 3 关注私信	besterChen 4 5 楼过来膜拜呀~~~ 2013-6-26 18:03 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 6 楼大家被楼主闪了一下腰 2013-6-26 18:06 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 7 楼就这东西还加vmp……sb才会测试……谁能保证你有没有添加恶意代码呢？或者说你用的盗版vmp里本身自带了恶意代码…… 而且你这个程序没有体系技术含量……往往网游保护注重的不是保护方式还是抗剥离能力……你这就一个sys完全没有体现这方面的东西，而且现在的保护方式基本每家都差不多，已经很完美了，你这个东西并没有体现出与普通大陆货的差别，甚至是远不如那些大陆货……稳定压倒一切。以上仅代表我的一些不成熟的看法……如有不同看法请批评指正 2013-6-26 18:07 0
sam张雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	sam张 8 楼我这才是初期的，考虑剥离是不是过早了？至于你说的vmp不知道有木有恶意代码，那要不我给你源码好吗？还有，是不是大路货拿出来测测不就知道了吗？亲 2013-6-26 18:11 0
backerchen 雪币： 24 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 50 粉丝 0 关注私信	backerchen 9 楼老班支持你哈！被喷也是种幸福！ 2013-6-26 18:18 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 10 楼 Today is april fool's day? 2013-6-26 18:22 0
HuErr 雪币： 51 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 138 粉丝 1 关注私信	HuErr 11 楼特来支持下。 2013-6-26 18:37 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 12 楼设计一个保护……首先就是要设计抗剥离，我说了，保护方式真的不重要，打断调试很容易，随便一个内核新手只要肯花时间都能设计出来。实际上单纯的从防止调试来说只要挂钩int 3和int 1就够了……或者是挂钩相关调试api……随便做点手脚就够了，挂钩100个api和挂钩1一个api没有任何差别。但是，如果不能抗剥离，这个保护将没有任何意义。 2013-6-26 19:04 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 13 楼就一个小驱动，给源码都没兴趣看，估计BUG一堆。 2013-6-26 21:20 0
sam张雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	sam张 14 楼好吧，我能说我一个钩子也没用吗？听说win8的SSDT钩子一个都不能用了我说了，假如是大陆货色，我不敢拿上来的，我能说我写保护之前写核心代码就写了一个多月吗？ 2013-6-26 21:22 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 15 楼一样的……方法真的不重要……真的真的不重要……可以保护的方法太多了但是，如果不能抗剥离，这个保护将没有任何意义。稳定的方法也实在不少……据你自己的描述……显然稳定性你这个东西不占优势还有……据你的文件大小推测程序核心代码不会超过2000行…… 一个月…… 以上仅代表我的一些不成熟的看法……如有不同看法请批评指正 2013-6-26 21:28 0
sam张雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	sam张 16 楼人无完人，何况这只是框架，我也有说了，在不剥离的情况下你先去过他，不是每个人都会剥离的OK？抓着这辫子不放就没意义了..。 2013-6-26 21:53 0
水晶蜗牛雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 255 粉丝 0 关注私信	水晶蜗牛 17 楼 lz分享东西不管好不好起码支持一下啊 2013-6-26 21:58 0
hellopen 雪币： 516 活跃值： (323) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 99 粉丝 0 关注私信	hellopen 18 楼支持下，，， 2013-6-27 20:41 0
minitick 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	minitick 19 楼虚心听取前辈们的意见… 2013-6-27 22:51 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 6 关注私信	linziqingl 4 20 楼 sam张用IDA看了一下 DriverProtection.sys 发现驱动程序入口开始不远就有花指令了，我也有写过花指令生成器，我发现我们所实现的花指令系列似乎有些相似的地方，所以我想我们是否可以相互借鉴一下花指令实现思路。同时欢迎你来 http://bbs.pediy.com/showthread.php?p=1248476#post1248476 给我花指令实现的意见和建议。 2013-12-19 18:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sam张

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
Rookietp 雪币： 1047 活跃值： (766) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 804 粉丝 2 关注私信	Rookietp 2 楼楼主怎么发了两个贴，，LZ就发一个BIN？？ 2013-6-26 17:53 0
viphack 雪币： 217 活跃值： (978) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1010 粉丝 44 关注私信	viphack 4 3 楼自己加载吧~~ 2013-6-26 17:53 0
JoenChen 雪币： 6856 活跃值： (1857) 能力值： ( LV11，RANK：180 ) 在线值：发帖 12 回帖 176 粉丝 56 关注私信	JoenChen 4 4 楼侧漏了. 2013-6-26 18:00 0
besterChen 雪币： 168 活跃值： (157) 能力值： ( LV11，RANK：180 ) 在线值：发帖 10 回帖 181 粉丝 3 关注私信	besterChen 4 5 楼过来膜拜呀~~~ 2013-6-26 18:03 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 6 楼大家被楼主闪了一下腰 2013-6-26 18:06 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 7 楼就这东西还加vmp……sb才会测试……谁能保证你有没有添加恶意代码呢？或者说你用的盗版vmp里本身自带了恶意代码…… 而且你这个程序没有体系技术含量……往往网游保护注重的不是保护方式还是抗剥离能力……你这就一个sys完全没有体现这方面的东西，而且现在的保护方式基本每家都差不多，已经很完美了，你这个东西并没有体现出与普通大陆货的差别，甚至是远不如那些大陆货……稳定压倒一切。以上仅代表我的一些不成熟的看法……如有不同看法请批评指正 2013-6-26 18:07 0
sam张雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	sam张 8 楼我这才是初期的，考虑剥离是不是过早了？至于你说的vmp不知道有木有恶意代码，那要不我给你源码好吗？还有，是不是大路货拿出来测测不就知道了吗？亲 2013-6-26 18:11 0
backerchen 雪币： 24 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 50 粉丝 0 关注私信	backerchen 9 楼老班支持你哈！被喷也是种幸福！ 2013-6-26 18:18 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 10 楼 Today is april fool's day? 2013-6-26 18:22 0
HuErr 雪币： 51 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 138 粉丝 1 关注私信	HuErr 11 楼特来支持下。 2013-6-26 18:37 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 12 楼设计一个保护……首先就是要设计抗剥离，我说了，保护方式真的不重要，打断调试很容易，随便一个内核新手只要肯花时间都能设计出来。实际上单纯的从防止调试来说只要挂钩int 3和int 1就够了……或者是挂钩相关调试api……随便做点手脚就够了，挂钩100个api和挂钩1一个api没有任何差别。但是，如果不能抗剥离，这个保护将没有任何意义。 2013-6-26 19:04 0
kman 雪币： 155 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 338 粉丝 2 关注私信	kman 13 楼就一个小驱动，给源码都没兴趣看，估计BUG一堆。 2013-6-26 21:20 0
sam张雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	sam张 14 楼好吧，我能说我一个钩子也没用吗？听说win8的SSDT钩子一个都不能用了我说了，假如是大陆货色，我不敢拿上来的，我能说我写保护之前写核心代码就写了一个多月吗？ 2013-6-26 21:22 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 15 楼一样的……方法真的不重要……真的真的不重要……可以保护的方法太多了但是，如果不能抗剥离，这个保护将没有任何意义。稳定的方法也实在不少……据你自己的描述……显然稳定性你这个东西不占优势还有……据你的文件大小推测程序核心代码不会超过2000行…… 一个月…… 以上仅代表我的一些不成熟的看法……如有不同看法请批评指正 2013-6-26 21:28 0
sam张雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 21 粉丝 0 关注私信	sam张 16 楼人无完人，何况这只是框架，我也有说了，在不剥离的情况下你先去过他，不是每个人都会剥离的OK？抓着这辫子不放就没意义了..。 2013-6-26 21:53 0
水晶蜗牛雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 255 粉丝 0 关注私信	水晶蜗牛 17 楼 lz分享东西不管好不好起码支持一下啊 2013-6-26 21:58 0
hellopen 雪币： 516 活跃值： (323) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 99 粉丝 0 关注私信	hellopen 18 楼支持下，，， 2013-6-27 20:41 0
minitick 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	minitick 19 楼虚心听取前辈们的意见… 2013-6-27 22:51 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 6 关注私信	linziqingl 4 20 楼 sam张用IDA看了一下 DriverProtection.sys 发现驱动程序入口开始不远就有花指令了，我也有写过花指令生成器，我发现我们所实现的花指令系列似乎有些相似的地方，所以我想我们是否可以相互借鉴一下花指令实现思路。同时欢迎你来 http://bbs.pediy.com/showthread.php?p=1248476#post1248476 给我花指令实现的意见和建议。 2013-12-19 18:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复