-
-
[讨论]最近研究了一下最新版本167冒险岛这款游戏,想与各位大佬分享一下
-
2020-1-18 19:41
-
前沿:
加壳程序是themIDA主要是检测虚拟机,调试器,用本论坛2016那个OD可以过了R3的调试器检测
我用的VMware虚拟机所以简单过了一下虚拟机检测,主要有两点,1是in特权指令。2以及注册表的查询,
在启动游戏之前我脱离了OD, 让游戏正常加载,完全没问题进入了游戏。
加壳程序是themIDA主要是检测虚拟机,调试器,用本论坛2016那个OD可以过了R3的调试器检测
我用的VMware虚拟机所以简单过了一下虚拟机检测,主要有两点,1是in特权指令。2以及注册表的查询,
在启动游戏之前我脱离了OD, 让游戏正常加载,完全没问题进入了游戏。
之后大概有5 6分钟出现了这个。就在想估计是游戏运行中遇到了cupid 以及in特权指令,检测到了虚拟机的运行
首先我先用OD不脱离游戏运行,在打完账号密码。直接被永久封号,看来是有检测的。
经过查阅文章,应该是HackShield驱动保护。那就逆驱动呗。。
可是,。我在R3 ZwLoadDriver下断从头到打账号密码都没有断下来。
查看ZwSetSystemInformation.也没有38号枚举,那就双机调试把,,
打开Windbg在NTLoadDriver下断。(因为我加载驱动都要走这个地方我觉得算比较底层了。,OD 和 XT都走了这里加载的驱动包括我自己写的驱动)
从头到尾没断下 ???当时心态爆炸。
重启电脑,打开火绒剑和XT查看了一下驱动模块。 都是169个模块。好,上游戏,进入游戏以后,刷新。还是169个模块???
这特么是什么神仙游戏,没驱动保护的?? 但是看别的大佬分析的文章,都说是HackShield驱动保护?
希望各位大佬可以指点迷津,小生先谢谢
经过查阅文章,应该是HackShield驱动保护。那就逆驱动呗。。
可是,。我在R3 ZwLoadDriver下断从头到打账号密码都没有断下来。
查看ZwSetSystemInformation.也没有38号枚举,那就双机调试把,,
打开Windbg在NTLoadDriver下断。(因为我加载驱动都要走这个地方我觉得算比较底层了。,OD 和 XT都走了这里加载的驱动包括我自己写的驱动)
从头到尾没断下 ???当时心态爆炸。
重启电脑,打开火绒剑和XT查看了一下驱动模块。 都是169个模块。好,上游戏,进入游戏以后,刷新。还是169个模块???
这特么是什么神仙游戏,没驱动保护的?? 但是看别的大佬分析的文章,都说是HackShield驱动保护?
希望各位大佬可以指点迷津,小生先谢谢
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
mxd.sdo.com |
|
|
|
|
|
|
|
|
在R0下断和壳没关系吧? 
|
|
|
不是HS么。NGS是什么
|
|
|
不是说下断,你现在都不知道他哪里加载驱动的。。不放脱壳下来试试,ida一下 |
|
|
NGS |
|
|
|
|
|
现在就是好奇 这个游戏没有R0层的保护吗 |
|
|
这个倒是不清楚,但是就我感觉,r3也可以反调试,而且有些检测和反调试你的od不一定能过。 |
|
|
好的 看了一下大概是NGS保护 准备去研究下 |
|
|
|
|
|
卧槽 这么牛皮的吗。听说是直接syscall |
|
|
|
|
|
你好 |
|
|
|
|
|
NGS反调试很好过,我过掉了,OD进程隐藏断链,不信你在物理机上测试下 虚拟机检测倒是特别难,我搞了两个月没弄掉,妈的,不知道他到底是啥检测姿势,WMI检测硬件信息,注册表检测我都过滤处理了 |
|
|
|
|
|
167可用通过sleep直接废掉ngs~ |
|
|
|
|
|
|
|
|
看错了 167好像已经不行了 |
|
|
我也在研究NGS虚拟机检测,也是搞不定啊,CPU ID ,WMI,鲁大师检测,vmware信息什么也全撸掉了,VMP3.2也能直接运行了,还是能被检测到,哎 |
昵称好麻烦
