[求助]关于TX Game 对win8以上的疑问 --- 难道就没人知道吗?-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]关于TX Game 对win8以上的疑问 --- 难道就没人知道吗?

发表于: 2016-1-11 01:12 7653

[求助]关于TX Game 对win8以上的疑问 --- 难道就没人知道吗?

aisht

2016-1-11 01:12

7653

并不是某个游戏.而是基本TX的游戏都这样.(因为仅仅是自己琢磨,不是做WG)
很奇怪.为何win7下对 KERNEL.dll 的函数进行hook是可以拦截到的.
而win8以上系统(现在用win10了也是这样.so..好奇想问问).
注入了. 对 KERNEL.dll hook 并不经过这里. 对 KERNELBASE.dll 也是.
尝试了对 NTDLL.dll 进行拦截也一样. 不经过这里. 很奇怪. TX 的游戏是如何调用 API 的.

PS: hook 的函数是 CreateEvent

就想明白一下. 希望高手前辈可以给说明一下指点指点..

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持

最新回复 (23)
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2 楼可以在驱动里面拦截 2016-1-11 01:32 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 3 楼哪个请问在R3下不能拦截吗? TX的游戏不会都是直接走R0吧 2016-1-11 02:08 0
化魔雪币： 49 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 130 粉丝 0 关注私信	化魔 4 楼我在win8.1下 HOOK CreateProcessInternalW 也是不成功。。。不知道为什么同求！！！ 2016-1-11 10:23 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 5 楼应该是hook 大部分函数都无效. 我并不是只是尝试了 CreateEvent 还有一些别的. 也不行.不知道干嘛. 2016-1-11 12:20 0
惊电雪币： 209 活跃值： (773) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 6 楼我只想说两句题外话：你们所知道的人、身边的人、亲戚朋友之类的熟人，有几个是在用什么Win8、Win8.1、Win10的？？偶尔尝鲜或测试除外。把时间和精力浪费在这些小众非主流的平台上真的是闲的蛋疼... 2016-1-11 13:13 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 7 楼我也题外话一下. 除了办公电脑,大部分都win10. 非主流? 楼上这话让我想起来 6年前 win7 不被喷得一文不值 .叫嚣坚守xp的人. 嘛.不是引战.仅仅是题外话. 好产品经过时间洗礼始终会变成主流. 不否认国内目前大部分是win7 xp. 但在系统好用和以及性能上. win8 就肯定完爆win7 (要拿什么第三方应用说兼用性问题当我没说) 内存管理机制的改变这点就让win8比win7更稳定了. 至少我曾这样过. 同样一台机器. 同样的配置 .同样是MSDM下载的官方镜像. 同样的游戏. win7 一直开着 1个半月后明显卡顿 . win8 2个月一样就想在刚刚开机的在顺畅运行. (第三方程序?外挂?影响? 同样都是我自己写的一个小脚本在帮我玩游戏.仅此而已. .net 2.0 并无更多第三方) 2016-1-11 13:59 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 8 楼同求不沉 2016-1-14 01:56 0
Anuonuo 雪币： 150 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 68 粉丝 1 关注私信	Anuonuo 9 楼是不是HOOK的函数地址不对？ 2016-1-15 14:51 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 10 楼地址没问题.可就是拦截不到内容. 调试结果. 就是部分Event是经过这里的. 可并不是所有Event都是经过这个函数.很不明白... 2016-1-16 04:49 0
wuxiwudi 雪币： 927 活跃值： (1750) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 173 粉丝 5 关注私信	wuxiwudi 11 楼有个思路自己写api的头部，然后再跳转到系统api后面部分，所以你可以尝试在ret的时候拦截一下看看 2016-1-20 11:23 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 12 楼谢谢指点.我试试. 2016-1-21 06:41 0
hulucc 雪币： 90 活跃值： (80) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 13 楼直接在内核断下相关API然后回溯到用户层看不就好了，上windbg 2016-1-28 13:11 0
ZXY啪啪啪雪币： 243 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	ZXY啪啪啪 14 楼题外话早晚是win10的天下一直更新个人认为才是比较好的谢谢 2016-2-14 02:00 0
hulucc 雪币： 90 活跃值： (80) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 15 楼第二句没问题，肯定是要更新的，不过呢，WIN10如果真的不怎么样就会被跳过，直接出下一个系统了。就像VISTA那样，所以早晚是WIN10的天下那还不一定 2016-2-23 15:15 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 16 楼至今还是木有个答案.哎.. 2016-5-20 18:46 0
Morgion 雪币： 608 活跃值： (643) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 17 楼亲戚朋友全用XP那就是XP是主流？这什么逻辑？事实是：现在XP基本见不到了，Win7和Win10是最常见的 2016-5-20 20:18 0
三石辅助雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	三石辅助 18 楼有大神技术吗？我想招募组件个队伍！ 2016-5-20 23:19 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 19 楼 <三石辅助> ,这名字。。。，楼上看来跟***网易***干上了啊！！！！ 2016-5-21 01:13 0
礁石的爱雪币： 219 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	礁石的爱 20 楼记得以前有人说过，TP会在加载API后再拷贝一份内存然后走拷贝后的内存 2016-5-21 01:46 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 21 楼谢谢，可是同样的代码。在win7上却可以。所以才奇怪。如果是因为这个的话。。。由于是想在程序启动的时候hook。所以发现了这个问题。如果是在程序启动后hook反而就没这情况了。（hook别api可以。但是Event缺是在程序启动的时候就创建了。所以不肯定） 2016-5-21 05:26 0
三石辅助雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	三石辅助 22 楼我还真心不敢和他。不过网 ....易。。。。封号真是厉害！ 2016-5-21 15:57 0
三石辅助雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	三石辅助 23 楼我说哥们！你也是写手吗？ 2016-5-21 15:58 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 24 楼我是逆向玩手，游戏一窍不通，但却对游戏保护机制玩的上瘾了。。。尤其是专门有---云-检-测-的游戏，几乎是老鼠爱大米。。。。。。也就这---云-检-测- ，是最难逆的。。听论坛某位老狐狸说过，逆三石游戏，专门花了半个月，才扑捉到随机的---云-检-测--shellcode.......... <<===============实际上*封号**，也就靠这shellcode判断为主要依据，其他的检测都是渣渣！！！ 2016-5-22 22:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

aisht

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 938 粉丝 11 关注私信	luskyc 2 楼可以在驱动里面拦截 2016-1-11 01:32 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 3 楼哪个请问在R3下不能拦截吗? TX的游戏不会都是直接走R0吧 2016-1-11 02:08 0
化魔雪币： 49 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 130 粉丝 0 关注私信	化魔 4 楼我在win8.1下 HOOK CreateProcessInternalW 也是不成功。。。不知道为什么同求！！！ 2016-1-11 10:23 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 5 楼应该是hook 大部分函数都无效. 我并不是只是尝试了 CreateEvent 还有一些别的. 也不行.不知道干嘛. 2016-1-11 12:20 0
惊电雪币： 209 活跃值： (773) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 6 楼我只想说两句题外话：你们所知道的人、身边的人、亲戚朋友之类的熟人，有几个是在用什么Win8、Win8.1、Win10的？？偶尔尝鲜或测试除外。把时间和精力浪费在这些小众非主流的平台上真的是闲的蛋疼... 2016-1-11 13:13 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 7 楼我也题外话一下. 除了办公电脑,大部分都win10. 非主流? 楼上这话让我想起来 6年前 win7 不被喷得一文不值 .叫嚣坚守xp的人. 嘛.不是引战.仅仅是题外话. 好产品经过时间洗礼始终会变成主流. 不否认国内目前大部分是win7 xp. 但在系统好用和以及性能上. win8 就肯定完爆win7 (要拿什么第三方应用说兼用性问题当我没说) 内存管理机制的改变这点就让win8比win7更稳定了. 至少我曾这样过. 同样一台机器. 同样的配置 .同样是MSDM下载的官方镜像. 同样的游戏. win7 一直开着 1个半月后明显卡顿 . win8 2个月一样就想在刚刚开机的在顺畅运行. (第三方程序?外挂?影响? 同样都是我自己写的一个小脚本在帮我玩游戏.仅此而已. .net 2.0 并无更多第三方) 2016-1-11 13:59 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 8 楼同求不沉 2016-1-14 01:56 0
Anuonuo 雪币： 150 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 68 粉丝 1 关注私信	Anuonuo 9 楼是不是HOOK的函数地址不对？ 2016-1-15 14:51 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 10 楼地址没问题.可就是拦截不到内容. 调试结果. 就是部分Event是经过这里的. 可并不是所有Event都是经过这个函数.很不明白... 2016-1-16 04:49 0
wuxiwudi 雪币： 927 活跃值： (1750) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 173 粉丝 5 关注私信	wuxiwudi 11 楼有个思路自己写api的头部，然后再跳转到系统api后面部分，所以你可以尝试在ret的时候拦截一下看看 2016-1-20 11:23 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 12 楼谢谢指点.我试试. 2016-1-21 06:41 0
hulucc 雪币： 90 活跃值： (80) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 13 楼直接在内核断下相关API然后回溯到用户层看不就好了，上windbg 2016-1-28 13:11 0
ZXY啪啪啪雪币： 243 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	ZXY啪啪啪 14 楼题外话早晚是win10的天下一直更新个人认为才是比较好的谢谢 2016-2-14 02:00 0
hulucc 雪币： 90 活跃值： (80) 能力值： ( LV3，RANK：20 ) 在线值：发帖 22 回帖 469 粉丝 1 关注私信	hulucc 15 楼第二句没问题，肯定是要更新的，不过呢，WIN10如果真的不怎么样就会被跳过，直接出下一个系统了。就像VISTA那样，所以早晚是WIN10的天下那还不一定 2016-2-23 15:15 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 16 楼至今还是木有个答案.哎.. 2016-5-20 18:46 0
Morgion 雪币： 608 活跃值： (643) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 649 粉丝 5 关注私信	Morgion 1 17 楼亲戚朋友全用XP那就是XP是主流？这什么逻辑？事实是：现在XP基本见不到了，Win7和Win10是最常见的 2016-5-20 20:18 0
三石辅助雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	三石辅助 18 楼有大神技术吗？我想招募组件个队伍！ 2016-5-20 23:19 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 19 楼 <三石辅助> ,这名字。。。，楼上看来跟***网易***干上了啊！！！！ 2016-5-21 01:13 0
礁石的爱雪币： 219 活跃值： (221) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	礁石的爱 20 楼记得以前有人说过，TP会在加载API后再拷贝一份内存然后走拷贝后的内存 2016-5-21 01:46 0
aisht 雪币： 159 活跃值： (24) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	aisht 21 楼谢谢，可是同样的代码。在win7上却可以。所以才奇怪。如果是因为这个的话。。。由于是想在程序启动的时候hook。所以发现了这个问题。如果是在程序启动后hook反而就没这情况了。（hook别api可以。但是Event缺是在程序启动的时候就创建了。所以不肯定） 2016-5-21 05:26 0
三石辅助雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	三石辅助 22 楼我还真心不敢和他。不过网 ....易。。。。封号真是厉害！ 2016-5-21 15:57 0
三石辅助雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	三石辅助 23 楼我说哥们！你也是写手吗？ 2016-5-21 15:58 0
小阿弟雪币： 135 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 234 粉丝 0 关注私信	小阿弟 24 楼我是逆向玩手，游戏一窍不通，但却对游戏保护机制玩的上瘾了。。。尤其是专门有---云-检-测-的游戏，几乎是老鼠爱大米。。。。。。也就这---云-检-测- ，是最难逆的。。听论坛某位老狐狸说过，逆三石游戏，专门花了半个月，才扑捉到随机的---云-检-测--shellcode.......... <<===============实际上*封号**，也就靠这shellcode判断为主要依据，其他的检测都是渣渣！！！ 2016-5-22 22:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复