首页
社区
课程
招聘
未解决 [求助]某游戏的进程保护,求大神看看
发表于: 2020-3-25 14:10 4431

未解决 [求助]某游戏的进程保护,求大神看看

2020-3-25 14:10
4431
现象:
1.在Win7 x64下,该游戏进程用OpenProcess打开句柄失败。
2.任务管理器看不到进程的用户名和详细描述。
3.PChunter看到有进程和线程ob回调。
我的尝试:
1.我检查了游戏有没有对ce做应用层的IAT和Inline hook,发现没有看到。
2.用ark工具把 进程和线程回调 恢复了,仍然无法打开句柄。
3.我没有开VT,并且尝试去读取msr里面的kisystemcall64地址,发现没有被修改。
4.检查了EPROCESS结构中的 ProtectedProcess 成员,发现没有被修改。

自己懂的一点小套路全试玩了,,只好求大神提供思路了。。
再补充一点:这个游戏在win10 x64下是没有这个保护的。。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (18)
雪    币: 73
活跃值: (923)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
看看openprocess的GetLastError是啥呗
2020-3-25 17:45
1
雪    币: 3
活跃值: (48)
能力值: ( LV4,RANK:49 )
在线值:
发帖
回帖
粉丝
3
刚刚试了下,发现返回的错误代码是:
ERROR_ACCESS_DENIED
5 (0x5)
Access is denied.
好像看不出什么来。。。
2020-3-25 18:30
0
雪    币: 783
活跃值: (1171)
能力值: ( LV5,RANK:78 )
在线值:
发帖
回帖
粉丝
4
没看obj钩子么.
2020-3-25 21:16
1
雪    币: 3
活跃值: (48)
能力值: ( LV4,RANK:49 )
在线值:
发帖
回帖
粉丝
5
bambooqj 没看obj钩子么.
obj钩子就是pchunter里面的内核钩子是吧,我不知道这个怎么叫,应该就是我说的进程和线程回调,他还有创建进程 创建线程 和加载模块的回调,我全都恢复了。。还是不行,,我觉得它一定还有其他地方做了什么。。。我实在不知道是处理了哪里,内核里面也没有扫到inline hook。。
2020-3-25 22:40
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
6
先进行底层hook,然后再把他释放的tp保护ban了就可以了,没那么复杂,兄弟这游戏的保护我都玩烂了
2020-3-26 01:15
0
雪    币: 3
活跃值: (48)
能力值: ( LV4,RANK:49 )
在线值:
发帖
回帖
粉丝
7
mb_kizlxpak 先进行底层hook,然后再把他释放的tp保护ban了就可以了,没那么复杂,兄弟这游戏的保护我都玩烂了
具体怎么弄啊老哥
2020-3-26 11:34
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
QQ三国这个游戏在底层有jmp的,你禁止了他的驱动加载你还是读不了数据的,必须要先禁止再将底层hook了才能读取数据
2020-3-26 12:07
0
雪    币: 3
活跃值: (48)
能力值: ( LV4,RANK:49 )
在线值:
发帖
回帖
粉丝
9
mb_kizlxpak QQ三国这个游戏在底层有jmp的,你禁止了他的驱动加载你还是读不了数据的,必须要先禁止再将底层hook了才能读取数据
啥叫底层有jmp啊
2020-3-26 12:38
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
10
ntdll.dll那个底层文件有jmp
2020-3-26 13:17
0
雪    币: 83
活跃值: (1092)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
11
句柄保护 无非就是 对象钩子 句柄回调(ObRegisterCallbacks) infiity hook  句柄表篡改 还有系统调用返回r3时候有个钩子会先调用 
2020-3-26 13:43
0
雪    币: 188
活跃值: (631)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
用他个求,自己实现一套来。
2020-3-26 13:51
0
雪    币: 3
活跃值: (48)
能力值: ( LV4,RANK:49 )
在线值:
发帖
回帖
粉丝
13
killpy 句柄保护 无非就是 对象钩子 句柄回调(ObRegisterCallbacks) infiity hook 句柄表篡改 还有系统调用返回r3时候有个钩子会先调用
大神,那个对象钩子和句柄回调是一个东西吗?就是pchunter 的“object钩子”选项卡里面的吗?句柄表篡改是指获取到游戏句柄后,游戏不断扫描所有进程的的句柄表,篡改掉和自己有关的句柄吗?但是我的现象是句柄打开的时候直接就失败了,应该不是这种。还有系统调用返回r3时候的钩子是什么呀?
2020-3-26 14:07
0
雪    币: 3
活跃值: (48)
能力值: ( LV4,RANK:49 )
在线值:
发帖
回帖
粉丝
14
神雕大侠X 大神,那个对象钩子和句柄回调是一个东西吗?就是pchunter 的“object钩子”选项卡里面的吗?句柄表篡改是指获取到游戏句柄后,游戏不断扫描所有进程的的句柄表,篡改掉和自己有关的句柄吗?但是我的 ...
我刚刚看了一下系统的CkclWmiLoggerContext+0x28处,得到的数值是0,请问是否说明没有进行 infiity hook呢?
2020-3-26 14:49
0
雪    币: 3
活跃值: (48)
能力值: ( LV4,RANK:49 )
在线值:
发帖
回帖
粉丝
15
killpy 句柄保护 无非就是 对象钩子 句柄回调(ObRegisterCallbacks) infiity hook 句柄表篡改 还有系统调用返回r3时候有个钩子会先调用
不好意思,刚刚看的那个帖子使用的win10的偏移量,我搞错了,win7上是0x18,这个函数指针确实指向了游戏驱动模块的地址,很有可能就是用了infiity hook了,在infiity hook科普帖子里看到您有问如何禁止ETW,请问您现在找到什么方法处理这个hook了吗?非常感谢
2020-3-26 15:07
0
雪    币: 3
活跃值: (48)
能力值: ( LV4,RANK:49 )
在线值:
发帖
回帖
粉丝
16
唐某某 用他个求,自己实现一套来。
2020-3-26 21:39
0
雪    币: 83
活跃值: (1092)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
17
神雕大侠X 我刚刚看了一下系统的CkclWmiLoggerContext+0x28处,得到的数值是0,请问是否说明没有进行 infiity hook呢?
不是一回事  那个钩子是InstrumentationCallback
2020-3-29 12:49
0
雪    币: 83
活跃值: (1092)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
18
神雕大侠X 不好意思,刚刚看的那个帖子使用的win10的偏移量,我搞错了,win7上是0x18,这个函数指针确实指向了游戏驱动模块的地址,很有可能就是用了infiity hook了,在infiity hook科普 ...
那就学习hzqst 冲了它啊 2345驱动占坑第四层 微软第五层 你搞个第六层
2020-3-29 12:50
0
雪    币: 3
活跃值: (48)
能力值: ( LV4,RANK:49 )
在线值:
发帖
回帖
粉丝
19
killpy 不是一回事 那个钩子是InstrumentationCallback
谢谢大神解答,我看了InstrumentationCallback,还有一个疑问想请教下,这个hook方式是在一个进程的Kprocess中改写函数指针,那么hook是不是只针对这个被修改的进程呢,还是说是全局的
2020-3-29 14:28
0
游客
登录 | 注册 方可回帖
返回
//