[原创][讨论]谈谈近日对TP的分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创][讨论]谈谈近日对TP的分析

发表于: 2013-7-26 19:56 17984

[原创][讨论]谈谈近日对TP的分析

IDGHOST

2013-7-26 19:56

17984

开头先总结几句：1.只要是额外的保护，总会有代码卸载。
            2.最好用早期系统，而结合新起的KD和符号文件来分析。
            3.本文不涉及商业秘密和价值，仅用于研究。
据上次分析以来TP更新了几万次了，但实力还是那样的...不改变。

  第一步：上游戏;TP先是禁用双机，

看得出KiAttach没有了，多了个susped(还好停得下游戏，记得以前有检测，通信相隔太久会被黑，见得鬼多就不怕了。)
然后随便找一处HOOK反来看，这里说说其他的，TP有块区域存放保护程序的EPROCESS，而且像是链表。

mov eax,[xxx]
lea esi,[eax-0xDB]       'EPRCOESS:I'm here

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

上传的附件：

1.jpg （35.27kb，38次下载）
2.JPG （29.55kb，5次下载）
未命名.JPG （33.86kb，11次下载）
Clear.rar （6.05kb，223次下载）

收藏・26

免费・5

支持

最新回复 (29) 1 2 ▶
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 2 楼终于来大牛了认真mark 多谢大牛 2013-7-26 20:20 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 3 楼代码写得很差也不知道KD的定时器对象是怎么实现的。另外说下：刚才发帖时转到查看图片，点了后退到编辑那里，然后内容又被清空了。 2013-7-26 20:48 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 4 楼围观大牛终于出来了 2013-7-26 21:00 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 5 楼大牛看了几遍有些地方不懂。大牛的方法就是不一样我还在找清零代码检测 - - 又另类又牛逼 2013-7-26 21:10 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 6 楼 TP函数都连在一起的，只要加符号表在附近很容易找到的，不过这方法有个缺点，卸掉TP是可以双机下断，不过怎么分析呢? 2013-7-26 21:13 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 7 楼嗯这是难题小白搞R0没多久水平有限研究了几天还停留在处理检测代码结果处理了过3分钟就重启很猥琐他再重启前是判断全局变量值的 IDA查到有将近20出的重启代码但是处理的囊全局变量有不管用照旧重启猥琐的我无语了估计我处理检测的地方有问题猜测她的监测代码有通信干掉不行要风骚的手法处理小弟还在查找中对了想试试大牛的方法但是好像编译通不过不知是没写完还是我配置有问题 2013-7-26 21:41 0
nekaxi 雪币： 7352 活跃值： (4552) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 165 粉丝 0 关注私信	nekaxi 8 楼 marks，马克思 2013-7-26 22:36 0
PPTV 雪币： 9695 活跃值： (2501) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 153 粉丝 0 关注私信	PPTV 9 楼获取TP回调的cpp，马克思 2013-7-26 22:53 0
ldljlzw 雪币： 8901 活跃值： (4213) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 420 粉丝 2 关注私信	ldljlzw 10 楼大牛~~~是大牛!!!! 2013-7-27 01:04 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 11 楼附件重新设置过了，是因为BufferOverK那个溢出保护的原因。 2013-7-27 09:10 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 12 楼嗯我再试试 2013-7-27 09:58 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 13 楼多谢楼主 2013-7-27 10:01 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 14 楼 make 2013-7-27 15:20 0
jayfree 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jayfree 15 楼牛插插………… 2013-7-30 13:31 0
jaix 雪币： 42 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 126 粉丝 0 关注私信	jaix 16 楼说实话，不懂。大神是不是将它的驱动卸载下来了？卸载下来了游戏还可以运行吗？大神告诉点特殊点的方法怎么过掉它的DebugPort清零呢？ 2013-7-30 18:43 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 17 楼 TP只通过自己的CreateProcessNotiy进行卸载；游戏那边目前只知道有定时器对象来检测，感觉是个Event。至于DebugPort，附加的话还是没问题的。 2013-7-30 22:47 0
暗夜有魅雪币： 73 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 31 粉丝 0 关注私信	暗夜有魅 18 楼好学习了，这个方法值得一试 2013-7-31 17:15 0
值得怀疑雪币： 2325 活跃值： (4903) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 19 楼我只想问下你用是什么工具哦·！ 2013-7-31 17:37 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 20 楼是kernel detective 1.4 2013-7-31 20:13 0
okawen 雪币： 224 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	okawen 21 楼膜拜下大牛 2013-7-31 20:47 0
heretic 雪币： 217 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 93 粉丝 0 关注私信	heretic 22 楼 TP驱动可以直接卸了？这倒是个新的思路，谢谢大牛。 2013-8-1 09:33 0
jsubject 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	jsubject 23 楼涨知识了收下 2013-8-1 15:33 0
yuepengfei 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	yuepengfei 24 楼必须收藏 2013-8-1 17:46 0
MONKEYiiD 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	MONKEYiiD 25 楼收藏下~~ 2013-8-1 17:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

IDGHOST

发帖

197

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (29) 1 2 ▶
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 2 楼终于来大牛了认真mark 多谢大牛 2013-7-26 20:20 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 3 楼代码写得很差也不知道KD的定时器对象是怎么实现的。另外说下：刚才发帖时转到查看图片，点了后退到编辑那里，然后内容又被清空了。 2013-7-26 20:48 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 4 楼围观大牛终于出来了 2013-7-26 21:00 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 5 楼大牛看了几遍有些地方不懂。大牛的方法就是不一样我还在找清零代码检测 - - 又另类又牛逼 2013-7-26 21:10 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 6 楼 TP函数都连在一起的，只要加符号表在附近很容易找到的，不过这方法有个缺点，卸掉TP是可以双机下断，不过怎么分析呢? 2013-7-26 21:13 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 7 楼嗯这是难题小白搞R0没多久水平有限研究了几天还停留在处理检测代码结果处理了过3分钟就重启很猥琐他再重启前是判断全局变量值的 IDA查到有将近20出的重启代码但是处理的囊全局变量有不管用照旧重启猥琐的我无语了估计我处理检测的地方有问题猜测她的监测代码有通信干掉不行要风骚的手法处理小弟还在查找中对了想试试大牛的方法但是好像编译通不过不知是没写完还是我配置有问题 2013-7-26 21:41 0
nekaxi 雪币： 7352 活跃值： (4552) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 165 粉丝 0 关注私信	nekaxi 8 楼 marks，马克思 2013-7-26 22:36 0
PPTV 雪币： 9695 活跃值： (2501) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 153 粉丝 0 关注私信	PPTV 9 楼获取TP回调的cpp，马克思 2013-7-26 22:53 0
ldljlzw 雪币： 8901 活跃值： (4213) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 420 粉丝 2 关注私信	ldljlzw 10 楼大牛~~~是大牛!!!! 2013-7-27 01:04 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 11 楼附件重新设置过了，是因为BufferOverK那个溢出保护的原因。 2013-7-27 09:10 0
wliupengw 雪币： 68 活跃值： (104) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	wliupengw 1 12 楼嗯我再试试 2013-7-27 09:58 0
小烦雪币： 167 活跃值： (190) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 13 楼多谢楼主 2013-7-27 10:01 0
装逼兄雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	装逼兄 14 楼 make 2013-7-27 15:20 0
jayfree 雪币： 134 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jayfree 15 楼牛插插………… 2013-7-30 13:31 0
jaix 雪币： 42 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 126 粉丝 0 关注私信	jaix 16 楼说实话，不懂。大神是不是将它的驱动卸载下来了？卸载下来了游戏还可以运行吗？大神告诉点特殊点的方法怎么过掉它的DebugPort清零呢？ 2013-7-30 18:43 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 17 楼 TP只通过自己的CreateProcessNotiy进行卸载；游戏那边目前只知道有定时器对象来检测，感觉是个Event。至于DebugPort，附加的话还是没问题的。 2013-7-30 22:47 0
暗夜有魅雪币： 73 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 31 粉丝 0 关注私信	暗夜有魅 18 楼好学习了，这个方法值得一试 2013-7-31 17:15 0
值得怀疑雪币： 2325 活跃值： (4903) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 19 楼我只想问下你用是什么工具哦·！ 2013-7-31 17:37 0
IDGHOST 雪币： 115 活跃值： (46) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 197 粉丝 1 关注私信	IDGHOST 20 楼是kernel detective 1.4 2013-7-31 20:13 0
okawen 雪币： 224 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	okawen 21 楼膜拜下大牛 2013-7-31 20:47 0
heretic 雪币： 217 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 93 粉丝 0 关注私信	heretic 22 楼 TP驱动可以直接卸了？这倒是个新的思路，谢谢大牛。 2013-8-1 09:33 0
jsubject 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	jsubject 23 楼涨知识了收下 2013-8-1 15:33 0
yuepengfei 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	yuepengfei 24 楼必须收藏 2013-8-1 17:46 0
MONKEYiiD 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 25 粉丝 0 关注私信	MONKEYiiD 25 楼收藏下~~ 2013-8-1 17:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复