首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[讨论][建议]论某P的TCJ.dll
发表于: 2017-1-22 18:29 9664

[讨论][建议]论某P的TCJ.dll

cfcengjing 活跃值
2017-1-22 18:29
9664
大家好  我是曾经 谢谢看雪同志们基友们的精心关照。
最近某P游戏更新了TCJ.DLL检测后用IDA对其进行了一些常见的分析。
本人基础有限  所以涉及到的一些问题也希望有人给与指导。

某游戏我用IDA打开后发现了几个常见不常见的分析方式都是  
1、EnumProcesses
调用PrintModules功能对OpenProcess处理。
限制CSRSS过程防止用户级代码从打开它们。
取得模块的名字。
2、EnumChildWindows
枚举所有子窗口。
3、GetFileVersionInfo
获得系统版本信息并将硬件保存为GUID
4、GetModuleFileNameExW
获取系统中所有模块名
5、GetModuleInformation
获取所有模块信息
6、IsInExceptionSpec
是否被调试
7、FindHandler
调用了VEH异常处理
FindHandlerForForeignException
调用了SEH异常处理
SEH_100B9B60 .text 00000000100B9B45 0000001A 00000000 00000008 R . . . . . .
SEH_100B9B90 .text 00000000100B9B6A 0000001A 00000000 00000008 R . . . . . .
SEH_100B9BC0 .text 00000000100B9B9F 0000001A 00000000 00000008 R . . . . . .
SEH_100BA410 .text 00000000100BA3F5 0000001A 00000000 00000008 R . . . . . .
SEH_100BA9A0 .text 00000000100BA985 0000001A 00000000 00000008 R . . . . . .
SEH_100BA9D0 .text 00000000100BA9AA 0000001A 00000000 00000008 R . . . . . .
SEH_100BAAC0 .text 00000000100B96A5 0000001A 00000000 00000008 R . . . . . .
SEH_100BAAC0 .text 00000000100B96A5 0000001A 00000000 00000008 R . . . . . .
SEH_100BB150 .text 00000000100B9BD4 0000001A 00000000 00000008 R . . . . . .
SEH_100BB5D0 .text 00000000100BA255 0000001A 00000000 00000008 R . . . . . .
SEH_100BBC10 .text 00000000100BA9DF 0000001A 00000000 00000008 R . . . . . .
不过这些都是某P在检测上独立的一个动态链接库检测   个人觉得找到这些SEH处理的子程序做点相应的处理应该会有所不同吧

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (9)
hnllhuihui
雪    币: 67
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
楼主语死早?
2017-1-22 18:37
0
hzqst
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
3
目前知道TCJ的几个行为:
1.取文件MD5
2.ExtractIcon取文件图标
3.GetFileVersion取文件版本信息
4.取窗口标题和窗口类名
5.NtQueryVirtualMemory取别的进程的模块信息

你的电脑上所有加载的驱动,都会走一遍1,所有进程会走1234,所有dll会走135

某些游戏如果其中有dll有vmp或者safengine特征(.vmp0或.sedata)就会被系统赠送180大礼包

对了,再加一条:以前有一段时间只要游戏加载了任何dll,直接会在LoadImageNotify回调里面读dll,后来估计是怕驱动不稳定,又改回用TCJ创建个线程去读文件了。
2017-1-22 19:05
0
aimhack
雪    币: 423
活跃值: (501)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
4
TCJ 链接人工~
2017-1-22 21:03
0
清明雨
雪    币: 6
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
还会取版本信息啊!受教了!取回去干嘛!能否随便说下
2017-1-24 15:35
0
ZXY啪啪啪
雪    币: 193
活跃值: (170)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
第一条就是针对老v说的吊炸天的项目
2017-1-25 01:09
0
cvcvxk
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
私信
7
subvert没被检测,第一个是针对伪装的Csrss
2017-1-25 20:24
0
chilun
雪    币: 39
活跃值: (57)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
哪位哥哥能说说在TP下怎么遍历模块吗?我一遍历就蓝了。CF
2017-1-27 23:56
0
luckyyan
雪    币: 48
活跃值: (1104)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
听不懂你们在说啥
2017-3-7 00:19
0
黄小付
雪    币: 90
活跃值: (51)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
日常检测+行为检测,还是比较安逸的
2017-6-3 03:24
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//