NGS全称neon game security,天成旗下游戏反外挂系统
经检查,没发现驱动,只有3Ring下各种检测api,相对较简单
1.直接OD附加,进程结束,有反调试.
3.api Monitor监控NGS行为.发现各种遍历进程api
,各种遍历硬件基本信息.
4.再次尝试反反调试,移除各种调试信息,卒
5.发现问题,为什么api Monitor可以调试,我不行
6.通过多次使用api Monitor发现,在创建进程时选监控是可以调试NGS的,
而在NGS运行时附加必定退出.
7.附加调用NtDebugActiveProcess
还有另一种调试方法.
BOOL NtCreateProcess
(
LPCTSTR lpApplicationName,
LPTSTR lpCommandLine,
LPSECURITY_ATTRIBUTES lpProcessAttributes,
LPSECURITY_ATTRIBUTES lpThreadAttributes,
BOOL bInheritHandles,
DWORD dwCreationFlags,
LPVOID lpEnvironment,
LPCTSTR lpCurrentDirectory,
LPSTARTUPINFO lpStartupInfo,
LPPROCESS_INFORMATIONlpProcessInformation
);
dwCreationFlags

DEBUG_PROCESS
0x00000001
The calling thread starts and debugs the new process
and all child processes created by the new process.
It can receive all related debug events using WaitForDebugEvent

8.应该是我没处理好某些反调试,直接从创建进程调试正好可以绕过.
最近太忙了,以后有空研究.
9.实现,偷梁换柱,在CreateProcess下断,改参数写个插件把调试转移给调试器.

PS:大佬们,你们是怎么分析出各种反外挂系统的,感觉像神仙一样
调试个ngs都整的头秃
给个基本的学习路径就行,小菜鸟无从下手啊

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)