首页
社区
课程
招聘
[讨论]最近研究了一下最新版本167冒险岛这款游戏,想与各位大佬分享一下
发表于: 2020-1-18 19:41 13793

[讨论]最近研究了一下最新版本167冒险岛这款游戏,想与各位大佬分享一下

2020-1-18 19:41
13793
前沿:
       加壳程序是themIDA主要是检测虚拟机,调试器,用本论坛2016那个OD可以过了R3的调试器检测
       我用的VMware虚拟机所以简单过了一下虚拟机检测,主要有两点,1是in特权指令。2以及注册表的查询,
       在启动游戏之前我脱离了OD, 让游戏正常加载,完全没问题进入了游戏。

之后大概有5 6分钟出现了这个。就在想估计是游戏运行中遇到了cupid 以及in特权指令,检测到了虚拟机的运行


首先我先用OD不脱离游戏运行,在打完账号密码。直接被永久封号,看来是有检测的。
经过查阅文章,应该是HackShield驱动保护。那就逆驱动呗。。
可是,。我在R3 ZwLoadDriver下断从头到打账号密码都没有断下来。
查看ZwSetSystemInformation.也没有38号枚举,那就双机调试把,,
打开Windbg在NTLoadDriver下断。(因为我加载驱动都要走这个地方我觉得算比较底层了。,OD 和 XT都走了这里加载的驱动包括我自己写的驱动)
从头到尾没断下 ???当时心态爆炸。
重启电脑,打开火绒剑和XT查看了一下驱动模块。 都是169个模块。好,上游戏,进入游戏以后,刷新。还是169个模块???
这特么是什么神仙游戏,没驱动保护的?? 但是看别的大佬分析的文章,都说是HackShield驱动保护?
希望各位大佬可以指点迷津,小生先谢谢

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (30)
雪    币: 4094
活跃值: (4190)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
2
给个游戏链接哈
2020-1-18 21:22
0
雪    币: 1182
活跃值: (954)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
昵称好麻烦 给个游戏链接哈
mxd.sdo.com
2020-1-18 23:31
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
4
NGS!!!!看啥HS呢?
2020-1-19 03:46
0
雪    币: 12502
活跃值: (3048)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
要不脱壳试试?
2020-1-19 10:44
0
雪    币: 1182
活跃值: (954)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
白菜大哥 要不脱壳试试?
在R0下断和壳没关系吧?
2020-1-19 13:18
0
雪    币: 1182
活跃值: (954)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
7
mb_oydadjfe NGS!!!!看啥HS呢?
不是HS么。NGS是什么
2020-1-19 13:19
0
雪    币: 12502
活跃值: (3048)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
8
program杨 在R0下断和壳没关系吧?[em_4]
不是说下断,你现在都不知道他哪里加载驱动的。。不放脱壳下来试试,ida一下
2020-1-19 13:41
0
雪    币: 433
活跃值: (1900)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
9
program杨 [em_4]不是HS么。NGS是什么
NGS
2020-1-19 17:53
0
雪    币: 12502
活跃值: (3048)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
10
感觉你过了themida的检测,但是没有过客户端的检测。因为themida的反调试不一定就和客户端的一模一样。。
2020-1-20 10:25
0
雪    币: 1182
活跃值: (954)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
11
白菜大哥 感觉你过了themida的检测,但是没有过客户端的检测。因为themida的反调试不一定就和客户端的一模一样。。
现在就是好奇 这个游戏没有R0层的保护吗
2020-1-20 14:29
0
雪    币: 12502
活跃值: (3048)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
12
program杨 现在就是好奇 这个游戏没有R0层的保护吗
这个倒是不清楚,但是就我感觉,r3也可以反调试,而且有些检测和反调试你的od不一定能过。
2020-1-20 14:41
0
雪    币: 1182
活跃值: (954)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
13
白菜大哥 这个倒是不清楚,但是就我感觉,r3也可以反调试,而且有些检测和反调试你的od不一定能过。
好的 看了一下大概是NGS保护 准备去研究下
2020-1-20 23:36
0
雪    币: 2670
活跃值: (2048)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
NGS不带驱动的.全部R3虐
2020-1-21 00:00
0
雪    币: 1182
活跃值: (954)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
15
wbzloveme NGS不带驱动的.全部R3虐
卧槽 这么牛皮的吗。听说是直接syscall
2020-1-21 15:00
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
16
你好,后面解决了吗?我也是相同问题
2020-1-30 13:12
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
17
白菜大哥 这个倒是不清楚,但是就我感觉,r3也可以反调试,而且有些检测和反调试你的od不一定能过。
你好
2020-1-30 13:27
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
18
你知道怎么解决吗?我也是相同问题
2020-1-30 13:27
0
雪    币: 1558
活跃值: (3395)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
mb_dxyxrcud 你好
NGS反调试很好过,我过掉了,OD进程隐藏断链,不信你在物理机上测试下
虚拟机检测倒是特别难,我搞了两个月没弄掉,妈的,不知道他到底是啥检测姿势,WMI检测硬件信息,注册表检测我都过滤处理了
2020-6-28 00:43
0
雪    币: 433
活跃值: (1900)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
20

emmm

最后于 2020-6-28 00:51 被萌克力编辑 ,原因: 有问题
2020-6-28 00:50
0
雪    币: 433
活跃值: (1900)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
21
qj111111 NGS反调试很好过,我过掉了,OD进程隐藏断链,不信你在物理机上测试下 虚拟机检测倒是特别难,我搞了两个月没弄掉,妈的,不知道他到底是啥检测姿势,WMI检测硬件信息,注册表检测我都过滤处理了
167可用通过sleep直接废掉ngs~
2020-6-28 00:50
0
雪    币: 1558
活跃值: (3395)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
emmm,大佬可以给点具体点的提示不,在ring0拦截哪个函数sleep
2020-6-28 08:58
0
雪    币: 259
活跃值: (283)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
666
2020-6-28 21:01
0
雪    币: 433
活跃值: (1900)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
24
qj111111 emmm,大佬可以给点具体点的提示不,在ring0拦截哪个函数sleep
看错了 167好像已经不行了
2020-6-28 23:28
0
雪    币: 185
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
qj111111 NGS反调试很好过,我过掉了,OD进程隐藏断链,不信你在物理机上测试下 虚拟机检测倒是特别难,我搞了两个月没弄掉,妈的,不知道他到底是啥检测姿势,WMI检测硬件信息,注册表检测我都过滤处理了
我也在研究NGS虚拟机检测,也是搞不定啊,CPU ID ,WMI,鲁大师检测,vmware信息什么也全撸掉了,VMP3.2也能直接运行了,还是能被检测到,哎
2020-7-8 00:37
0
游客
登录 | 注册 方可回帖
返回
//