[讨论]最近研究了一下最新版本167冒险岛这款游戏，想与各位大佬分享一下-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]最近研究了一下最新版本167冒险岛这款游戏，想与各位大佬分享一下

发表于: 2020-1-18 19:41 13826

[讨论]最近研究了一下最新版本167冒险岛这款游戏，想与各位大佬分享一下

program杨

2020-1-18 19:41

13826

前沿：
   加壳程序是themIDA主要是检测虚拟机，调试器，用本论坛2016那个OD可以过了R3的调试器检测
   我用的VMware虚拟机所以简单过了一下虚拟机检测，主要有两点，1是in特权指令。2以及注册表的查询，
   在启动游戏之前我脱离了OD，让游戏正常加载，完全没问题进入了游戏。

之后大概有5 6分钟出现了这个。就在想估计是游戏运行中遇到了cupid 以及in特权指令，检测到了虚拟机的运行

首先我先用OD不脱离游戏运行，在打完账号密码。直接被永久封号，看来是有检测的。
经过查阅文章，应该是HackShield驱动保护。那就逆驱动呗。。
可是，。我在R3 ZwLoadDriver下断从头到打账号密码都没有断下来。
查看ZwSetSystemInformation.也没有38号枚举，那就双机调试把，，
打开Windbg在NTLoadDriver下断。(因为我加载驱动都要走这个地方我觉得算比较底层了。，OD 和 XT都走了这里加载的驱动包括我自己写的驱动)
从头到尾没断下？？？当时心态爆炸。
重启电脑，打开火绒剑和XT查看了一下驱动模块。都是169个模块。好，上游戏，进入游戏以后，刷新。还是169个模块？？？
这特么是什么神仙游戏，没驱动保护的？？但是看别的大佬分析的文章，都说是HackShield驱动保护？
希望各位大佬可以指点迷津，小生先谢谢

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・5

免费・0

支持

最新回复 (30) 1 2 ▶
TechForBad 雪币： 4094 活跃值： (4205) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 2 楼给个游戏链接哈 2020-1-18 21:22 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 3 楼昵称好麻烦给个游戏链接哈 mxd.sdo.com 2020-1-18 23:31 0
mb_oydadjfe 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_oydadjfe 4 楼 NGS!!!!看啥HS呢？ 2020-1-19 03:46 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 5 楼要不脱壳试试？ 2020-1-19 10:44 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 6 楼白菜大哥要不脱壳试试？在R0下断和壳没关系吧？ 2020-1-19 13:18 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 7 楼 mb_oydadjfe NGS!!!!看啥HS呢？不是HS么。NGS是什么 2020-1-19 13:19 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 8 楼 program杨在R0下断和壳没关系吧？[em_4] 不是说下断，你现在都不知道他哪里加载驱动的。。不放脱壳下来试试，ida一下 2020-1-19 13:41 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 9 楼 program杨 [em_4]不是HS么。NGS是什么 NGS 2020-1-19 17:53 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 10 楼感觉你过了themida的检测，但是没有过客户端的检测。因为themida的反调试不一定就和客户端的一模一样。。 2020-1-20 10:25 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 11 楼白菜大哥感觉你过了themida的检测，但是没有过客户端的检测。因为themida的反调试不一定就和客户端的一模一样。。现在就是好奇这个游戏没有R0层的保护吗 2020-1-20 14:29 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 12 楼 program杨现在就是好奇这个游戏没有R0层的保护吗这个倒是不清楚，但是就我感觉，r3也可以反调试，而且有些检测和反调试你的od不一定能过。 2020-1-20 14:41 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 13 楼白菜大哥这个倒是不清楚，但是就我感觉，r3也可以反调试，而且有些检测和反调试你的od不一定能过。好的看了一下大概是NGS保护准备去研究下 2020-1-20 23:36 0
wbzloveme 雪币： 2670 活跃值： (2048) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 45 粉丝 0 关注私信	wbzloveme 14 楼 NGS不带驱动的.全部R3虐 2020-1-21 00:00 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 15 楼 wbzloveme NGS不带驱动的.全部R3虐卧槽这么牛皮的吗。听说是直接syscall 2020-1-21 15:00 0
mb_dxyxrcud 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_dxyxrcud 16 楼你好，后面解决了吗？我也是相同问题 2020-1-30 13:12 0
mb_dxyxrcud 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_dxyxrcud 17 楼白菜大哥这个倒是不清楚，但是就我感觉，r3也可以反调试，而且有些检测和反调试你的od不一定能过。你好 2020-1-30 13:27 0
mb_dxyxrcud 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_dxyxrcud 18 楼你知道怎么解决吗？我也是相同问题 2020-1-30 13:27 0
qj111111 雪币： 1558 活跃值： (3442) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 19 楼 mb_dxyxrcud 你好 NGS反调试很好过,我过掉了,OD进程隐藏断链,不信你在物理机上测试下虚拟机检测倒是特别难,我搞了两个月没弄掉,妈的,不知道他到底是啥检测姿势,WMI检测硬件信息,注册表检测我都过滤处理了 2020-6-28 00:43 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 20 楼 emmm 最后于 2020-6-28 00:51 被萌克力编辑，原因：有问题 2020-6-28 00:50 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 21 楼 qj111111 NGS反调试很好过,我过掉了,OD进程隐藏断链,不信你在物理机上测试下虚拟机检测倒是特别难,我搞了两个月没弄掉,妈的,不知道他到底是啥检测姿势,WMI检测硬件信息,注册表检测我都过滤处理了 167可用通过sleep直接废掉ngs~ 2020-6-28 00:50 0
qj111111 雪币： 1558 活跃值： (3442) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 22 楼 emmm,大佬可以给点具体点的提示不,在ring0拦截哪个函数sleep 2020-6-28 08:58 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 23 楼 666 2020-6-28 21:01 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 24 楼 qj111111 emmm,大佬可以给点具体点的提示不,在ring0拦截哪个函数sleep 看错了 167好像已经不行了 2020-6-28 23:28 0
大水货雪币： 185 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	大水货 25 楼 qj111111 NGS反调试很好过,我过掉了,OD进程隐藏断链,不信你在物理机上测试下虚拟机检测倒是特别难,我搞了两个月没弄掉,妈的,不知道他到底是啥检测姿势,WMI检测硬件信息,注册表检测我都过滤处理了我也在研究NGS虚拟机检测，也是搞不定啊，CPU ID ，WMI，鲁大师检测，vmware信息什么也全撸掉了，VMP3.2也能直接运行了，还是能被检测到，哎 2020-7-8 00:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

program杨

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
TechForBad 雪币： 4094 活跃值： (4205) 能力值： ( LV5，RANK：60 ) 在线值：发帖 18 回帖 157 粉丝 63 关注私信	TechForBad 2 楼给个游戏链接哈 2020-1-18 21:22 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 3 楼昵称好麻烦给个游戏链接哈 mxd.sdo.com 2020-1-18 23:31 0
mb_oydadjfe 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_oydadjfe 4 楼 NGS!!!!看啥HS呢？ 2020-1-19 03:46 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 5 楼要不脱壳试试？ 2020-1-19 10:44 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 6 楼白菜大哥要不脱壳试试？在R0下断和壳没关系吧？ 2020-1-19 13:18 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 7 楼 mb_oydadjfe NGS!!!!看啥HS呢？不是HS么。NGS是什么 2020-1-19 13:19 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 8 楼 program杨在R0下断和壳没关系吧？[em_4] 不是说下断，你现在都不知道他哪里加载驱动的。。不放脱壳下来试试，ida一下 2020-1-19 13:41 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 9 楼 program杨 [em_4]不是HS么。NGS是什么 NGS 2020-1-19 17:53 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 10 楼感觉你过了themida的检测，但是没有过客户端的检测。因为themida的反调试不一定就和客户端的一模一样。。 2020-1-20 10:25 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 11 楼白菜大哥感觉你过了themida的检测，但是没有过客户端的检测。因为themida的反调试不一定就和客户端的一模一样。。现在就是好奇这个游戏没有R0层的保护吗 2020-1-20 14:29 0
白菜大哥雪币： 12502 活跃值： (3053) 能力值： ( LV3，RANK：20 ) 在线值：发帖 66 回帖 615 粉丝 15 关注私信	白菜大哥 12 楼 program杨现在就是好奇这个游戏没有R0层的保护吗这个倒是不清楚，但是就我感觉，r3也可以反调试，而且有些检测和反调试你的od不一定能过。 2020-1-20 14:41 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 13 楼白菜大哥这个倒是不清楚，但是就我感觉，r3也可以反调试，而且有些检测和反调试你的od不一定能过。好的看了一下大概是NGS保护准备去研究下 2020-1-20 23:36 0
wbzloveme 雪币： 2670 活跃值： (2048) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 45 粉丝 0 关注私信	wbzloveme 14 楼 NGS不带驱动的.全部R3虐 2020-1-21 00:00 0
program杨雪币： 1182 活跃值： (954) 能力值： ( LV3，RANK：20 ) 在线值：发帖 15 回帖 74 粉丝 8 关注私信	program杨 15 楼 wbzloveme NGS不带驱动的.全部R3虐卧槽这么牛皮的吗。听说是直接syscall 2020-1-21 15:00 0
mb_dxyxrcud 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_dxyxrcud 16 楼你好，后面解决了吗？我也是相同问题 2020-1-30 13:12 0
mb_dxyxrcud 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_dxyxrcud 17 楼白菜大哥这个倒是不清楚，但是就我感觉，r3也可以反调试，而且有些检测和反调试你的od不一定能过。你好 2020-1-30 13:27 0
mb_dxyxrcud 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_dxyxrcud 18 楼你知道怎么解决吗？我也是相同问题 2020-1-30 13:27 0
qj111111 雪币： 1558 活跃值： (3442) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 19 楼 mb_dxyxrcud 你好 NGS反调试很好过,我过掉了,OD进程隐藏断链,不信你在物理机上测试下虚拟机检测倒是特别难,我搞了两个月没弄掉,妈的,不知道他到底是啥检测姿势,WMI检测硬件信息,注册表检测我都过滤处理了 2020-6-28 00:43 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 20 楼 emmm 最后于 2020-6-28 00:51 被萌克力编辑，原因：有问题 2020-6-28 00:50 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 21 楼 qj111111 NGS反调试很好过,我过掉了,OD进程隐藏断链,不信你在物理机上测试下虚拟机检测倒是特别难,我搞了两个月没弄掉,妈的,不知道他到底是啥检测姿势,WMI检测硬件信息,注册表检测我都过滤处理了 167可用通过sleep直接废掉ngs~ 2020-6-28 00:50 0
qj111111 雪币： 1558 活跃值： (3442) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 156 粉丝 19 关注私信	qj111111 22 楼 emmm,大佬可以给点具体点的提示不,在ring0拦截哪个函数sleep 2020-6-28 08:58 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 23 楼 666 2020-6-28 21:01 0
萌克力雪币： 433 活跃值： (1910) 能力值： ( LV4，RANK：40 ) 在线值：发帖 35 回帖 607 粉丝 33 关注私信	萌克力 24 楼 qj111111 emmm,大佬可以给点具体点的提示不,在ring0拦截哪个函数sleep 看错了 167好像已经不行了 2020-6-28 23:28 0
大水货雪币： 185 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	大水货 25 楼 qj111111 NGS反调试很好过,我过掉了,OD进程隐藏断链,不信你在物理机上测试下虚拟机检测倒是特别难,我搞了两个月没弄掉,妈的,不知道他到底是啥检测姿势,WMI检测硬件信息,注册表检测我都过滤处理了我也在研究NGS虚拟机检测，也是搞不定啊，CPU ID ，WMI，鲁大师检测，vmware信息什么也全撸掉了，VMP3.2也能直接运行了，还是能被检测到，哎 2020-7-8 00:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复