[讨论]请问目前在驱动程序上做保护防破解(加大破解成本)最好的解决方案有哪些?-求助问答-看雪-安全社区|安全招聘|kanxue.com

[讨论]请问目前在驱动程序上做保护防破解(加大破解成本)最好的解决方案有哪些?

2019-3-21 09:01 6163

[讨论]请问目前在驱动程序上做保护防破解(加大破解成本)最好的解决方案有哪些?

abeyy

2019-3-21 09:01

6163

目前开发了一款产品包含驱动程序, 想把"验证是否合法用户"的功能做在驱动里, 然而还需要在驱动程序上加上保护才不至于这个功能变成鸡肋, 寻求解决方案.

----------------------------------

很抱歉描述得不够清晰. 我的产品的功能分布在驱动程序及应用程序中, 核心功能在驱动程序中, 所以最好能够令驱动程序自身具备验证合法用户的能力.

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

最后于 2019-3-22 00:06 被abeyy编辑，原因：

收藏・1

点赞・0

打赏

最新回复 (26) 1 2 ▶
hzqst 雪币： 12837 活跃值： (8993) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2019-3-21 09:46 2 楼 1 我来翻译一下：请问如何把某游或者某盾网络验证嵌进驱动？
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-21 09:56 3 楼 0 hzqst 我来翻译一下：请问如何把某游或者某盾网络验证嵌进驱动？具体是指啥, 请明示.
放学打我不雪币： 4006 活跃值： (596) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 90 粉丝 16 关注私信	放学打我不 1 2019-3-21 10:33 4 楼 0 see processhacker
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-21 10:41 5 楼 0 放学打我不 see processhacker 感谢回复, 你意思是把其中的恶意软件检测的功能剥离出来加到我自己的驱动中? 如果是这样的话.. 很抱歉, 我是想找 vmp 这类现成的商业解决方案.
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 119 回帖 617 粉丝 254 关注私信	xiaofu 8 2019-3-21 13:23 6 楼 0 wsk http
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 147 粉丝 1 关注私信	流哥 2019-3-21 14:15 7 楼 0 不用放在驱动，应用层就可以，每次连接到服务器更新监测功能（可独立为dll-每次算法不一样），调用接口进行判断。就算一次破解，下次更新就失效了
MRRighter 雪币： 8 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 1 关注私信	MRRighter 2019-3-21 15:21 8 楼 0 用户驱动直接是个空壳，里面内嵌vmp，自写wsk http服务通过验证之后从云端拉vmp之后的驱动下来内存加载
crackJ 雪币： 159 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 104 粉丝 0 关注私信	crackJ 1 2019-3-21 15:24 9 楼 0 说了真么多还是要落地，只要落地，各种大手子们就有各种办法，而且你这种东西万一崩溃了都不好查问题，更谈不上维护
crackJ 雪币： 159 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 104 粉丝 0 关注私信	crackJ 1 2019-3-21 15:25 10 楼 0 MRRighter 用户驱动直接是个空壳，里面内嵌vmp，自写wsk http服务通过验证之后从云端拉vmp之后的驱动下来内存加载说了真么多还是要落地，只要落地，各种大手子们就有各种办法，而且你这种东西万一崩溃了都不好查问题，更谈不上维护
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-21 23:52 11 楼 0 MRRighter 用户驱动直接是个空壳，里面内嵌vmp，自写wsk http服务通过验证之后从云端拉vmp之后的驱动下来内存加载 win10 1607之后的驱动程序全部要 EV签名后提交微软 WHQL 交叉签名才可以被加载. 我不能让我的用户全部去重启禁用驱动签名验证再用我的产品吧?
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-21 23:56 12 楼 0 流哥不用放在驱动，应用层就可以，每次连接到服务器更新监测功能（可独立为dll-每次算法不一样），调用接口进行判断。就算一次破解，下次更新就失效了我的核心功能在驱动里, 应用层防破没有意义, 分析出我驱动跟应用层的 IO 接口, 可以直接自己写个应用层(虽然大部分做破解的没这个闲情). 所以驱动本身需要具备"验证是否合法用户"的能力. 最后于 2019-3-21 23:57 被abeyy编辑，原因：
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-22 00:29 13 楼 0 看了下 wsk 的文档, 请问你觉得 wsk 加 wolfSSL 在驱动做 https 怎样? 最后于 2019-3-22 00:29 被abeyy编辑，原因：
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-22 00:31 14 楼 0 xiaofu wsk http 看了下 wsk 的文档, 请问你觉得 wsk 加 wolfSSL(https://www.wolfssl.com) 在驱动做 https 怎样?
MRRighter 雪币： 8 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 1 关注私信	MRRighter 2019-3-22 11:19 15 楼 0 crackJ 说了真么多还是要落地，只要落地，各种大手子们就有各种办法，而且你这种东西万一崩溃了都不好查问题，更谈不上维护所以你有什么好的思路么？不落地的提提看
crackJ 雪币： 159 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 104 粉丝 0 关注私信	crackJ 1 2019-3-22 12:03 16 楼 0 基于收集机器的各种指纹，比如安装的软件列表，机器配置信息，固件信息，硬盘网卡信息，甚至是外接显示设备，假如不嫌变态甚至是部分用户的键盘与鼠标操作信息，所以的信息上传服务器，所以分析都在服务器，说白了就是主要的验证逻辑在服务器，本地只是环境监测与行为收集，同时在对这些收集做些保护（比如关键api重载，关键代码混淆），这样可维护的同时还能保证稳定，同时也加大了破解维度，但是话说回来没有破解不了的系统，这就看你要保护的东西值多少钱了，这样比只求一点的高难度保护来得实用一些，说白了就是可工程化
crackJ 雪币： 159 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 104 粉丝 0 关注私信	crackJ 1 2019-3-22 12:04 17 楼 0 MRRighter 所以你有什么好的思路么？不落地的提提看基于收集机器的各种指纹，比如安装的软件列表，机器配置信息，固件信息，硬盘网卡信息，甚至是外接显示设备，假如不嫌变态甚至是部分用户的键盘与鼠标操作信息，所以的信息上传服务器，所以分析都在服务器，说白了就是主要的验证逻辑在服务器，本地只是环境监测与行为收集，同时在对这些收集做些保护（比如关键api重载，关键代码混淆），这样可维护的同时还能保证稳定，同时也加大了破解维度，但是话说回来没有破解不了的系统，这就看你要保护的东西值多少钱了，这样比只求一点的高难度保护来得实用一些，说白了就是可工程化
放学打我不雪币： 4006 活跃值： (596) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 90 粉丝 16 关注私信	放学打我不 1 2019-3-22 13:12 18 楼 0 abeyy 感谢回复, 你意思是把其中的恶意软件检测的功能剥离出来加到我自己的驱动中? 如果是这样的话.. 很抱歉, 我是想找 vmp 这类现成的商业解决方案. 不是啊 processhacker实现了与驱动通信部分的检验可以参考一下
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-22 21:22 19 楼 0 xiaofu wsk http 请问 wsk + http, http 怎么实现加密及防止中间人? 有没现成的方案, 我看过 wolfSSL 并没有实现 windows kernel mode 的支持, 需要自己二次开发才行, 有点麻烦.
柒雪天尚雪币： 182 活跃值： (576) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 332 粉丝 4 关注私信	柒雪天尚 2019-3-22 22:50 20 楼 0 SKProtect
邓dg 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 111 粉丝 0 关注私信	邓dg 2019-3-22 22:58 21 楼 0 fuck yourself 自己开发的保护保护自身啊对自己开发的不自信？
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-23 13:39 22 楼 0 邓dg fuck yourself 自己开发的保护保护自身啊对自己开发的不自信？很抱歉, 我不是安全领域的工作者, 对此没有专业的知识来支撑.
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 147 粉丝 1 关注私信	流哥 2020-5-15 13:56 23 楼 0 abeyy 流哥不用放在驱动，应用层就可以，每次连接到服务器更新监测功能（可独立为dll-每次算法不一样），调用接口进行判断。就算一次破解，下次更新就失效了我 ... 放到驱动，逻辑太复杂的话蓝屏风险很大，一般内核只干内核必要该干的事儿，逻辑性的东西还是放到应用层吧。r0和r3如何配合的问题就有点考验水平了
岚岚岚雪币： 998 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	岚岚岚 2020-5-16 01:58 24 楼 0 大佬可以留个联系方式吗？
mb_pctfltte 雪币：能力值： (RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	mb_pctfltte 2023-5-22 15:55 25 楼 0 相对来说肯定是采用硬件加密方案最不容易破解，可以了解下飞天Rockey加密锁
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

abeyy

发帖

回帖

RANK

关注

私信

他的文章

[讨论]请问目前在驱动程序上做保护防破解(加大破解成本)最好的解决方案有哪些?

[求助]一开OD S`D 的xx岛游戏就关闭了`求解决思路`

[求助]游戏保护检测到非法程序是什么原理？

[求助]怎么实现自定义的 NtOpenProcess 里面的CALL 指令

[求助]游戏的反W`G 系统检测到调试器非法是什么原理

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
hzqst 雪币： 12837 活跃值： (8993) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 539 关注私信	hzqst 3 2019-3-21 09:46 2 楼 1 我来翻译一下：请问如何把某游或者某盾网络验证嵌进驱动？
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-21 09:56 3 楼 0 hzqst 我来翻译一下：请问如何把某游或者某盾网络验证嵌进驱动？具体是指啥, 请明示.
放学打我不雪币： 4006 活跃值： (596) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 90 粉丝 16 关注私信	放学打我不 1 2019-3-21 10:33 4 楼 0 see processhacker
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-21 10:41 5 楼 0 放学打我不 see processhacker 感谢回复, 你意思是把其中的恶意软件检测的功能剥离出来加到我自己的驱动中? 如果是这样的话.. 很抱歉, 我是想找 vmp 这类现成的商业解决方案.
xiaofu 雪币： 1564 活跃值： (3572) 能力值： ( LV13，RANK：420 ) 在线值：发帖 119 回帖 617 粉丝 254 关注私信	xiaofu 8 2019-3-21 13:23 6 楼 0 wsk http
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 147 粉丝 1 关注私信	流哥 2019-3-21 14:15 7 楼 0 不用放在驱动，应用层就可以，每次连接到服务器更新监测功能（可独立为dll-每次算法不一样），调用接口进行判断。就算一次破解，下次更新就失效了
MRRighter 雪币： 8 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 1 关注私信	MRRighter 2019-3-21 15:21 8 楼 0 用户驱动直接是个空壳，里面内嵌vmp，自写wsk http服务通过验证之后从云端拉vmp之后的驱动下来内存加载
crackJ 雪币： 159 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 104 粉丝 0 关注私信	crackJ 1 2019-3-21 15:24 9 楼 0 说了真么多还是要落地，只要落地，各种大手子们就有各种办法，而且你这种东西万一崩溃了都不好查问题，更谈不上维护
crackJ 雪币： 159 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 104 粉丝 0 关注私信	crackJ 1 2019-3-21 15:25 10 楼 0 MRRighter 用户驱动直接是个空壳，里面内嵌vmp，自写wsk http服务通过验证之后从云端拉vmp之后的驱动下来内存加载说了真么多还是要落地，只要落地，各种大手子们就有各种办法，而且你这种东西万一崩溃了都不好查问题，更谈不上维护
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-21 23:52 11 楼 0 MRRighter 用户驱动直接是个空壳，里面内嵌vmp，自写wsk http服务通过验证之后从云端拉vmp之后的驱动下来内存加载 win10 1607之后的驱动程序全部要 EV签名后提交微软 WHQL 交叉签名才可以被加载. 我不能让我的用户全部去重启禁用驱动签名验证再用我的产品吧?
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-21 23:56 12 楼 0 流哥不用放在驱动，应用层就可以，每次连接到服务器更新监测功能（可独立为dll-每次算法不一样），调用接口进行判断。就算一次破解，下次更新就失效了我的核心功能在驱动里, 应用层防破没有意义, 分析出我驱动跟应用层的 IO 接口, 可以直接自己写个应用层(虽然大部分做破解的没这个闲情). 所以驱动本身需要具备"验证是否合法用户"的能力. 最后于 2019-3-21 23:57 被abeyy编辑，原因：
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-22 00:29 13 楼 0 看了下 wsk 的文档, 请问你觉得 wsk 加 wolfSSL 在驱动做 https 怎样? 最后于 2019-3-22 00:29 被abeyy编辑，原因：
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-22 00:31 14 楼 0 xiaofu wsk http 看了下 wsk 的文档, 请问你觉得 wsk 加 wolfSSL(https://www.wolfssl.com) 在驱动做 https 怎样?
MRRighter 雪币： 8 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 52 粉丝 1 关注私信	MRRighter 2019-3-22 11:19 15 楼 0 crackJ 说了真么多还是要落地，只要落地，各种大手子们就有各种办法，而且你这种东西万一崩溃了都不好查问题，更谈不上维护所以你有什么好的思路么？不落地的提提看
crackJ 雪币： 159 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 104 粉丝 0 关注私信	crackJ 1 2019-3-22 12:03 16 楼 0 基于收集机器的各种指纹，比如安装的软件列表，机器配置信息，固件信息，硬盘网卡信息，甚至是外接显示设备，假如不嫌变态甚至是部分用户的键盘与鼠标操作信息，所以的信息上传服务器，所以分析都在服务器，说白了就是主要的验证逻辑在服务器，本地只是环境监测与行为收集，同时在对这些收集做些保护（比如关键api重载，关键代码混淆），这样可维护的同时还能保证稳定，同时也加大了破解维度，但是话说回来没有破解不了的系统，这就看你要保护的东西值多少钱了，这样比只求一点的高难度保护来得实用一些，说白了就是可工程化
crackJ 雪币： 159 活跃值： (80) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 104 粉丝 0 关注私信	crackJ 1 2019-3-22 12:04 17 楼 0 MRRighter 所以你有什么好的思路么？不落地的提提看基于收集机器的各种指纹，比如安装的软件列表，机器配置信息，固件信息，硬盘网卡信息，甚至是外接显示设备，假如不嫌变态甚至是部分用户的键盘与鼠标操作信息，所以的信息上传服务器，所以分析都在服务器，说白了就是主要的验证逻辑在服务器，本地只是环境监测与行为收集，同时在对这些收集做些保护（比如关键api重载，关键代码混淆），这样可维护的同时还能保证稳定，同时也加大了破解维度，但是话说回来没有破解不了的系统，这就看你要保护的东西值多少钱了，这样比只求一点的高难度保护来得实用一些，说白了就是可工程化
放学打我不雪币： 4006 活跃值： (596) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 90 粉丝 16 关注私信	放学打我不 1 2019-3-22 13:12 18 楼 0 abeyy 感谢回复, 你意思是把其中的恶意软件检测的功能剥离出来加到我自己的驱动中? 如果是这样的话.. 很抱歉, 我是想找 vmp 这类现成的商业解决方案. 不是啊 processhacker实现了与驱动通信部分的检验可以参考一下
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-22 21:22 19 楼 0 xiaofu wsk http 请问 wsk + http, http 怎么实现加密及防止中间人? 有没现成的方案, 我看过 wolfSSL 并没有实现 windows kernel mode 的支持, 需要自己二次开发才行, 有点麻烦.
柒雪天尚雪币： 182 活跃值： (576) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 332 粉丝 4 关注私信	柒雪天尚 2019-3-22 22:50 20 楼 0 SKProtect
邓dg 雪币： 26 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 111 粉丝 0 关注私信	邓dg 2019-3-22 22:58 21 楼 0 fuck yourself 自己开发的保护保护自身啊对自己开发的不自信？
abeyy 雪币： 53 活跃值： (32) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 25 粉丝 0 关注私信	abeyy 2019-3-23 13:39 22 楼 0 邓dg fuck yourself 自己开发的保护保护自身啊对自己开发的不自信？很抱歉, 我不是安全领域的工作者, 对此没有专业的知识来支撑.
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 147 粉丝 1 关注私信	流哥 2020-5-15 13:56 23 楼 0 abeyy 流哥不用放在驱动，应用层就可以，每次连接到服务器更新监测功能（可独立为dll-每次算法不一样），调用接口进行判断。就算一次破解，下次更新就失效了我 ... 放到驱动，逻辑太复杂的话蓝屏风险很大，一般内核只干内核必要该干的事儿，逻辑性的东西还是放到应用层吧。r0和r3如何配合的问题就有点考验水平了
岚岚岚雪币： 998 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	岚岚岚 2020-5-16 01:58 24 楼 0 大佬可以留个联系方式吗？
mb_pctfltte 雪币：能力值： (RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	mb_pctfltte 2023-5-22 15:55 25 楼 0 相对来说肯定是采用硬件加密方案最不容易破解，可以了解下飞天Rockey加密锁
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复