-
-
[讨论][建议]论某P的TCJ.dll
-
发表于:
2017-1-22 18:29
9665
-
大家好 我是曾经 谢谢看雪同志们基友们的精心关照。
最近某P游戏更新了TCJ.DLL检测后用IDA对其进行了一些常见的分析。
本人基础有限 所以涉及到的一些问题也希望有人给与指导。
某游戏我用IDA打开后发现了几个常见不常见的分析方式都是
1、EnumProcesses
调用PrintModules功能对OpenProcess处理。
限制CSRSS过程防止用户级代码从打开它们。
取得模块的名字。
2、EnumChildWindows
枚举所有子窗口。
3、GetFileVersionInfo
获得系统版本信息并将硬件保存为GUID
4、GetModuleFileNameExW
获取系统中所有模块名
5、GetModuleInformation
获取所有模块信息
6、IsInExceptionSpec
是否被调试
7、FindHandler
调用了VEH异常处理
FindHandlerForForeignException
调用了SEH异常处理
SEH_100B9B60 .text 00000000100B9B45 0000001A 00000000 00000008 R . . . . . .
SEH_100B9B90 .text 00000000100B9B6A 0000001A 00000000 00000008 R . . . . . .
SEH_100B9BC0 .text 00000000100B9B9F 0000001A 00000000 00000008 R . . . . . .
SEH_100BA410 .text 00000000100BA3F5 0000001A 00000000 00000008 R . . . . . .
SEH_100BA9A0 .text 00000000100BA985 0000001A 00000000 00000008 R . . . . . .
SEH_100BA9D0 .text 00000000100BA9AA 0000001A 00000000 00000008 R . . . . . .
SEH_100BAAC0 .text 00000000100B96A5 0000001A 00000000 00000008 R . . . . . .
SEH_100BAAC0 .text 00000000100B96A5 0000001A 00000000 00000008 R . . . . . .
SEH_100BB150 .text 00000000100B9BD4 0000001A 00000000 00000008 R . . . . . .
SEH_100BB5D0 .text 00000000100BA255 0000001A 00000000 00000008 R . . . . . .
SEH_100BBC10 .text 00000000100BA9DF 0000001A 00000000 00000008 R . . . . . .
不过这些都是某P在检测上独立的一个动态链接库检测 个人觉得找到这些SEH处理的子程序做点相应的处理应该会有所不同吧
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
