[原创]带菜鸟入个门---58行代码破掉主流游戏保护实现CE读写-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]带菜鸟入个门---58行代码破掉主流游戏保护实现CE读写

发表于: 2020-12-16 11:31 19557

[原创]带菜鸟入个门---58行代码破掉主流游戏保护实现CE读写

学技术打豆豆

2020-12-16 11:31

19557

目前测试环境：win10 1909和win764位都能应用，win7 64位在退出游戏时，会引发蓝屏，需要修复部分数据，但对小白来说，过于麻烦，可以不用CE，直接使用三环的ReadProcessMemory和WriteProcessMemory即可。

上图

2.过程（我挂了几天不蓝，如各位有蓝屏，请查找蓝屏代码自行修复）

如果你要修改的目标进程是32位的，你就打开32位的NOTEPAD.exe，如果是64位的，你就打开64位的NOTEPAD.exe做为傀儡进程，以实现环境适应。

在内核层，暂停傀儡进程的所有线程，让傀儡进程变成一个纯粹的内存空间，不要在三环创建挂起进程，会蓝。

将目标进程的CR3,VAD挂入傀儡进程的CR3和VAD，进行替换，切记不要替换PEB和wowPEB,会蓝。

win7 64位，退出目标进程后，会蓝，需要修改很多细节，可以直接不用CE，直接三环读写API即可。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2020-12-16 14:02 被学技术打豆豆编辑，原因：

#系统底层 #调试逆向

收藏・70

免费・10

支持

最新回复 (30) 1 2 ▶
学技术打豆豆雪币： 198 活跃值： (8548) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 370 关注私信	学技术打豆豆 1 2 楼 ..。最后于 2020-12-16 14:07 被学技术打豆豆编辑，原因： 2020-12-16 11:43 0
Galesaur 雪币： 0 活跃值： (217) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Galesaur 3 楼这个原来有人讲过，不过我好奇你的虚拟机，我想要这个 2020-12-16 11:57 0
学技术打豆豆雪币： 198 活跃值： (8548) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 370 关注私信	学技术打豆豆 1 4 楼 Galesaur 这个原来有人讲过，不过我好奇你的虚拟机，我想要这个虚拟机三行代码解决 2020-12-16 12:02 0
dz默契雪币： 62 活跃值： (662) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 59 粉丝 4 关注私信	dz默契 5 楼我豆哥得技术我这辈子都赶不上了，别怀疑啊就那个一杆进三洞都够我学一辈子了 2020-12-16 12:08 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 6 楼其实要anti也简单，遍历所有进程判断PML4前100项是否跟游戏进程相同即可，但是这样搞就变成攻防套娃了，纯属浪费时间 2020-12-16 13:41 1
清风qfccc 雪币： 305 活跃值： (403) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 18 粉丝 4 关注私信	清风qfccc 7 楼豆哥牛逼 2020-12-16 14:32 0
Galesaur 雪币： 0 活跃值： (217) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Galesaur 8 楼学技术打豆豆虚拟机三行代码解决可以双机调试不，我最近想玩玩，被按在这里了 2020-12-16 15:00 0
学技术打豆豆雪币： 198 活跃值： (8548) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 370 关注私信	学技术打豆豆 1 9 楼 hzqst 其实要anti也简单，遍历所有进程判断PML4前100项是否跟游戏进程相同即可，但是这样搞就变成攻防套娃了，纯属浪费时间攻防双方本来就是技术对抗的过程，我告诉你了原理，你当然简单，你把TP的原理告诉我，我也简单！ 2020-12-16 15:16 0
鸭子咯咯哒雪币： 1041 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 117 粉丝 1 关注私信	鸭子咯咯哒 10 楼这个是一个驱动读写吗 2020-12-16 18:32 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 11 楼你这个可以读写已经换页的内存吗 2020-12-17 09:05 0
学技术打豆豆雪币： 198 活跃值： (8548) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 370 关注私信	学技术打豆豆 1 12 楼 killpy 你这个可以读写已经换页的内存吗当然可以 2020-12-17 10:11 0
killleer 雪币： 1556 活跃值： (2297) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 10 关注私信	killleer 13 楼如果你要修改的目标进程是32位的，你就打开32位的NOTEPAD.exe，如果是64位的，你就打开64位的NOTEPAD.exe做为傀儡进程，以实现环境适应。在内核层，暂停傀儡进程的所有线程，让傀儡进程变成一个纯粹的内存空间，不要在三环创建挂起进程，会蓝。这个感觉和某老外的poc很像啊@hzqst 老外那个很早就有了，暂停runtimebroker的 2020-12-19 12:43 0
killleer 雪币： 1556 活跃值： (2297) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 10 关注私信	killleer 14 楼 hzqst 其实要anti也简单，遍历所有进程判断PML4前100项是否跟游戏进程相同即可，但是这样搞就变成攻防套娃了，纯属浪费时间 PCclone和kmem那玩意？ 2020-12-19 12:49 0
gdgdgdg 雪币： 362 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	gdgdgdg 15 楼自己写个虚拟机解决一切疑难杂症 2020-12-19 13:02 1
学技术打豆豆雪币： 198 活跃值： (8548) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 370 关注私信	学技术打豆豆 1 16 楼 gdgdgdg 自己写个虚拟机解决一切疑难杂症 2020-12-22 12:26 0
wbqsohucom 雪币： 36 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	wbqsohucom 17 楼学习了，谢谢 2020-12-25 20:45 0
huojier 雪币： 137 活跃值： (1350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 85 粉丝 8 关注私信	huojier 18 楼我有一种设想...要干坏事的,直接把PID改了做完坏事再改回去,所以有人去试试吗? 2020-12-27 19:04 0
仙乐雪币： 29 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 1 关注私信	仙乐 19 楼为什么我看到不到系统调用的内核函数我是很白很白的小白 2020-12-29 17:42 0
思源欲涩雪币： 331 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 50 粉丝 15 关注私信	思源欲涩 20 楼 Win10 64 1809 能替换成功创建进程或过几秒钟到十几秒不等蓝屏报内存重叠难道是我操作不对? VOID 进程内存替换(const char* age_processname) { //int3zzzz(); pGLobalStruct = (GLOBAL_STRUCT*)ExAllocatePool(NonPagedPool, sizeof(0)); if (!pGLobalStruct) return; pGLobalStruct->pOwnProcess = (PEPROCESS)取指定进程("test.exe"); pGLobalStruct->pGameProcess = (PEPROCESS)取指定进程(age_processname); if (pGLobalStruct->pOwnProcess == NULL64 \|\| pGLobalStruct->pGameProcess == NULL64) return; PsSuspendProcess(pGLobalStruct->pOwnProcess); RtlChangeEprocess(); } 2020-12-29 20:48 0
学技术打豆豆雪币： 198 活跃值： (8548) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 370 关注私信	学技术打豆豆 1 21 楼思源欲涩 Win10 64 1809 能替换成功 创建进程或过几秒钟到十几秒不等蓝屏 报内存重叠 难道 ... pGLobalStruct = (GLOBAL_STRUCT*)ExAllocatePool(NonPagedPool, sizeof(0)); 2020-12-29 21:21 0
rescuo 雪币： 2359 活跃值： (343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 168 粉丝 1 关注私信	rescuo 22 楼虚拟机怎么过检测 2020-12-29 23:44 0
dearfuture 雪币： 2428 活跃值： (2566) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 64 粉丝 1 关注私信	dearfuture 23 楼牛逼，以前只想过怎么构造页表，原来找个傀儡进程替换成目标进程的cr3就好了。替换vadroot，是为了解决r3内存的页异常？不过问题来了，要是r3发生缺页，应该还是当前线程挂入傀儡进程执行pf，其实也就是游戏进程的pf。但要是游戏进程的pf做了什么手脚，会不会出什么问题？ 2021-2-3 04:31 0
dearfuture 雪币： 2428 活跃值： (2566) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 64 粉丝 1 关注私信	dearfuture 24 楼还有一个就是为什么是拷贝pml4前100项？系统空间最低是 0x00000800`00000000也就是2^43，所以大概2^43/2^39=16，感觉只需要拷贝pml4的前16项就可以了？ 2021-2-3 05:17 0
倪大大雪币： 914 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	倪大大 25 楼 1809没几分钟就109蓝屏 2021-2-19 20:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

学技术打豆豆

发帖

回帖

180

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
学技术打豆豆雪币： 198 活跃值： (8548) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 370 关注私信	学技术打豆豆 1 2 楼 ..。最后于 2020-12-16 14:07 被学技术打豆豆编辑，原因： 2020-12-16 11:43 0
Galesaur 雪币： 0 活跃值： (217) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Galesaur 3 楼这个原来有人讲过，不过我好奇你的虚拟机，我想要这个 2020-12-16 11:57 0
学技术打豆豆雪币： 198 活跃值： (8548) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 370 关注私信	学技术打豆豆 1 4 楼 Galesaur 这个原来有人讲过，不过我好奇你的虚拟机，我想要这个虚拟机三行代码解决 2020-12-16 12:02 0
dz默契雪币： 62 活跃值： (662) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 59 粉丝 4 关注私信	dz默契 5 楼我豆哥得技术我这辈子都赶不上了，别怀疑啊就那个一杆进三洞都够我学一辈子了 2020-12-16 12:08 0
hzqst 雪币： 12848 活跃值： (9142) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 568 关注私信	hzqst 3 6 楼其实要anti也简单，遍历所有进程判断PML4前100项是否跟游戏进程相同即可，但是这样搞就变成攻防套娃了，纯属浪费时间 2020-12-16 13:41 1
清风qfccc 雪币： 305 活跃值： (403) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 18 粉丝 4 关注私信	清风qfccc 7 楼豆哥牛逼 2020-12-16 14:32 0
Galesaur 雪币： 0 活跃值： (217) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Galesaur 8 楼学技术打豆豆虚拟机三行代码解决可以双机调试不，我最近想玩玩，被按在这里了 2020-12-16 15:00 0
学技术打豆豆雪币： 198 活跃值： (8548) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 370 关注私信	学技术打豆豆 1 9 楼 hzqst 其实要anti也简单，遍历所有进程判断PML4前100项是否跟游戏进程相同即可，但是这样搞就变成攻防套娃了，纯属浪费时间攻防双方本来就是技术对抗的过程，我告诉你了原理，你当然简单，你把TP的原理告诉我，我也简单！ 2020-12-16 15:16 0
鸭子咯咯哒雪币： 1041 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 117 粉丝 1 关注私信	鸭子咯咯哒 10 楼这个是一个驱动读写吗 2020-12-16 18:32 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 11 楼你这个可以读写已经换页的内存吗 2020-12-17 09:05 0
学技术打豆豆雪币： 198 活跃值： (8548) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 370 关注私信	学技术打豆豆 1 12 楼 killpy 你这个可以读写已经换页的内存吗当然可以 2020-12-17 10:11 0
killleer 雪币： 1556 活跃值： (2297) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 10 关注私信	killleer 13 楼如果你要修改的目标进程是32位的，你就打开32位的NOTEPAD.exe，如果是64位的，你就打开64位的NOTEPAD.exe做为傀儡进程，以实现环境适应。在内核层，暂停傀儡进程的所有线程，让傀儡进程变成一个纯粹的内存空间，不要在三环创建挂起进程，会蓝。这个感觉和某老外的poc很像啊@hzqst 老外那个很早就有了，暂停runtimebroker的 2020-12-19 12:43 0
killleer 雪币： 1556 活跃值： (2297) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 77 粉丝 10 关注私信	killleer 14 楼 hzqst 其实要anti也简单，遍历所有进程判断PML4前100项是否跟游戏进程相同即可，但是这样搞就变成攻防套娃了，纯属浪费时间 PCclone和kmem那玩意？ 2020-12-19 12:49 0
gdgdgdg 雪币： 362 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	gdgdgdg 15 楼自己写个虚拟机解决一切疑难杂症 2020-12-19 13:02 1
学技术打豆豆雪币： 198 活跃值： (8548) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 370 关注私信	学技术打豆豆 1 16 楼 gdgdgdg 自己写个虚拟机解决一切疑难杂症 2020-12-22 12:26 0
wbqsohucom 雪币： 36 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	wbqsohucom 17 楼学习了，谢谢 2020-12-25 20:45 0
huojier 雪币： 137 活跃值： (1350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 85 粉丝 8 关注私信	huojier 18 楼我有一种设想...要干坏事的,直接把PID改了做完坏事再改回去,所以有人去试试吗? 2020-12-27 19:04 0
仙乐雪币： 29 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 9 粉丝 1 关注私信	仙乐 19 楼为什么我看到不到系统调用的内核函数我是很白很白的小白 2020-12-29 17:42 0
思源欲涩雪币： 331 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 50 粉丝 15 关注私信	思源欲涩 20 楼 Win10 64 1809 能替换成功创建进程或过几秒钟到十几秒不等蓝屏报内存重叠难道是我操作不对? VOID 进程内存替换(const char* age_processname) { //int3zzzz(); pGLobalStruct = (GLOBAL_STRUCT*)ExAllocatePool(NonPagedPool, sizeof(0)); if (!pGLobalStruct) return; pGLobalStruct->pOwnProcess = (PEPROCESS)取指定进程("test.exe"); pGLobalStruct->pGameProcess = (PEPROCESS)取指定进程(age_processname); if (pGLobalStruct->pOwnProcess == NULL64 \|\| pGLobalStruct->pGameProcess == NULL64) return; PsSuspendProcess(pGLobalStruct->pOwnProcess); RtlChangeEprocess(); } 2020-12-29 20:48 0
学技术打豆豆雪币： 198 活跃值： (8548) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 81 粉丝 370 关注私信	学技术打豆豆 1 21 楼思源欲涩 Win10 64 1809 能替换成功 创建进程或过几秒钟到十几秒不等蓝屏 报内存重叠 难道 ... pGLobalStruct = (GLOBAL_STRUCT*)ExAllocatePool(NonPagedPool, sizeof(0)); 2020-12-29 21:21 0
rescuo 雪币： 2359 活跃值： (343) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 168 粉丝 1 关注私信	rescuo 22 楼虚拟机怎么过检测 2020-12-29 23:44 0
dearfuture 雪币： 2428 活跃值： (2566) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 64 粉丝 1 关注私信	dearfuture 23 楼牛逼，以前只想过怎么构造页表，原来找个傀儡进程替换成目标进程的cr3就好了。替换vadroot，是为了解决r3内存的页异常？不过问题来了，要是r3发生缺页，应该还是当前线程挂入傀儡进程执行pf，其实也就是游戏进程的pf。但要是游戏进程的pf做了什么手脚，会不会出什么问题？ 2021-2-3 04:31 0
dearfuture 雪币： 2428 活跃值： (2566) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 64 粉丝 1 关注私信	dearfuture 24 楼还有一个就是为什么是拷贝pml4前100项？系统空间最低是 0x00000800`00000000也就是2^43，所以大概2^43/2^39=16，感觉只需要拷贝pml4的前16项就可以了？ 2021-2-3 05:17 0
倪大大雪币： 914 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	倪大大 25 楼 1809没几分钟就109蓝屏 2021-2-19 20:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复