[原创]带菜鸟入个门---58行代码破掉主流游戏保护实现CE读写

2020-12-16 11:31 18304

[原创]带菜鸟入个门---58行代码破掉主流游戏保护实现CE读写

学技术打豆豆

2020-12-16 11:31

18304

注意：此贴仅限技术交流分享

目前测试环境：win10 1909和win764位都能应用，win7 64位在退出游戏时，会引发蓝屏，需要修复部分数据，但对小白来说，过于麻烦，可以不用CE，直接使用三环的ReadProcessMemory和WriteProcessMemory即可。

上图

2.过程（我挂了几天不蓝，如各位有蓝屏，请查找蓝屏代码自行修复）

如果你要修改的目标进程是32位的，你就打开32位的NOTEPAD.exe，如果是64位的，你就打开64位的NOTEPAD.exe做为傀儡进程，以实现环境适应。
在内核层，暂停傀儡进程的所有线程，让傀儡进程变成一个纯粹的内存空间，不要在三环创建挂起进程，会蓝。
将目标进程的CR3,VAD挂入傀儡进程的CR3和VAD，进行替换，切记不要替换PEB和wowPEB,会蓝。
win7 64位，退出目标进程后，会蓝，需要修改很多细节，可以直接不用CE，直接三环读写API即可。

当然如果对方以判断CR3和VAD为目的来进行判断，你可以不用notepad.exe，你将CR3的PML4的前100项和VAD挂入system，可以实现读，但写因为win10 64位的eprocess有个systemprocess判断位，无法写，但可以读

win10 1909代码如下：

#include "MyGlobalVar.h"
#define DirectoryTableBase 0x28
#define UserDirectoryTableBase 0x280
#define VadRoot 0x658
#define VadHint 0x660

NTSTATUS PsSuspendProcess(PEPROCESS Process);
NTSTATUS PsResumeProcess(PEPROCESS Process);
PGLOBAL_STRUCT pGLobalStruct;
VOID Unload(PDRIVER_OBJECT pDriverObject)
{
	if (pGLobalStruct->isChange)
	{
		RtlRecoveryEprocess();
		PsResumeProcess(pGLobalStruct->pOwnProcess);
		ExFreePool(pGLobalStruct);
		KdPrint(("end\n"));
	}
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath)
{
	NTSTATUS status = STATUS_SUCCESS;
	pDriverObject->DriverUnload = Unload;
	HANDLE puppetPid = 3492;//傀儡进程PID
	HANDLE gamePid = 3108;//游戏Pid
	pGLobalStruct = ExAllocatePool(NonPagedPool, sizeof(GLOBAL_STRUCT));
	if (!pGLobalStruct) return status;
	PsLookupProcessByProcessId(puppetPid, &pGLobalStruct->pOwnProcess);
	PsLookupProcessByProcessId(gamePid, &pGLobalStruct->pGameProcess);
	PsSuspendProcess(pGLobalStruct->pOwnProcess);

	RtlChangeEprocess();
    return status;
}
//改变EPROCESS
VOID RtlChangeEprocess()
{
	
	pGLobalStruct->OldCr3 = *((PULONG64)((ULONG64)pGLobalStruct->pOwnProcess + DirectoryTableBase));
	pGLobalStruct->OldUserCr3 = *((PULONG64)((ULONG64)pGLobalStruct->pOwnProcess + UserDirectoryTableBase));
	pGLobalStruct->OldVadRoot = *((PULONG64)((ULONG64)pGLobalStruct->pOwnProcess + VadRoot));
	pGLobalStruct->OldVadHint = *((PULONG64)((ULONG64)pGLobalStruct->pOwnProcess + VadHint));
	*((PULONG64)((ULONG64)pGLobalStruct->pOwnProcess + DirectoryTableBase)) = *((PULONG64)((ULONG64)pGLobalStruct->pGameProcess + DirectoryTableBase));
	*((PULONG64)((ULONG64)pGLobalStruct->pOwnProcess + UserDirectoryTableBase)) = *((PULONG64)((ULONG64)pGLobalStruct->pGameProcess + UserDirectoryTableBase));
	*((PULONG64)((ULONG64)pGLobalStruct->pOwnProcess + VadRoot)) = *((PULONG64)((ULONG64)pGLobalStruct->pGameProcess + VadRoot));
	*((PULONG64)((ULONG64)pGLobalStruct->pOwnProcess + VadHint)) = *((PULONG64)((ULONG64)pGLobalStruct->pGameProcess + VadHint));
	pGLobalStruct->isChange = TRUE;

}
VOID RtlRecoveryEprocess()
{
	
	*((PULONG64)((ULONG64)pGLobalStruct->pOwnProcess + DirectoryTableBase)) = pGLobalStruct->OldCr3;
	*((PULONG64)((ULONG64)pGLobalStruct->pOwnProcess + UserDirectoryTableBase)) = pGLobalStruct->OldUserCr3;
	*((PULONG64)((ULONG64)pGLobalStruct->pOwnProcess + VadRoot)) = pGLobalStruct->OldVadRoot;
	*((PULONG64)((ULONG64)pGLobalStruct->pOwnProcess + VadHint)) = pGLobalStruct->OldVadHint;

}

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开发者可享99元/年，续费同价！

最后于 2020-12-16 14:02 被学技术打豆豆编辑，原因：

#系统底层 #调试逆向

收藏・71

点赞・10

打赏

最新回复 (30) 1 2 ▶
学技术打豆豆雪币： 170 活跃值： (8454) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 65 粉丝 344 关注私信	学技术打豆豆 1 2020-12-16 11:43 2 楼 0 ..。最后于 2020-12-16 14:07 被学技术打豆豆编辑，原因：
Galesaur 雪币： 0 活跃值： (107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Galesaur 2020-12-16 11:57 3 楼 0 这个原来有人讲过，不过我好奇你的虚拟机，我想要这个
学技术打豆豆雪币： 170 活跃值： (8454) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 65 粉丝 344 关注私信	学技术打豆豆 1 2020-12-16 12:02 4 楼 0 Galesaur 这个原来有人讲过，不过我好奇你的虚拟机，我想要这个虚拟机三行代码解决
dz默契雪币： 62 活跃值： (657) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 56 粉丝 4 关注私信	dz默契 2020-12-16 12:08 5 楼 0 我豆哥得技术我这辈子都赶不上了，别怀疑啊就那个一杆进三洞都够我学一辈子了
hzqst 雪币： 12839 活跃值： (9008) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1804 粉丝 540 关注私信	hzqst 3 2020-12-16 13:41 6 楼 1 其实要anti也简单，遍历所有进程判断PML4前100项是否跟游戏进程相同即可，但是这样搞就变成攻防套娃了，纯属浪费时间
清风qfccc 雪币： 305 活跃值： (403) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 12 粉丝 4 关注私信	清风qfccc 2020-12-16 14:32 7 楼 0 豆哥牛逼
Galesaur 雪币： 0 活跃值： (107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Galesaur 2020-12-16 15:00 8 楼 0 学技术打豆豆虚拟机三行代码解决可以双机调试不，我最近想玩玩，被按在这里了
学技术打豆豆雪币： 170 活跃值： (8454) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 65 粉丝 344 关注私信	学技术打豆豆 1 2020-12-16 15:16 9 楼 0 hzqst 其实要anti也简单，遍历所有进程判断PML4前100项是否跟游戏进程相同即可，但是这样搞就变成攻防套娃了，纯属浪费时间攻防双方本来就是技术对抗的过程，我告诉你了原理，你当然简单，你把TP的原理告诉我，我也简单！
鸭子咯咯哒雪币： 1041 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 114 粉丝 1 关注私信	鸭子咯咯哒 2020-12-16 18:32 10 楼 0 这个是一个驱动读写吗
killpy 雪币： 83 活跃值： (1052) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 651 粉丝 45 关注私信	killpy 2 2020-12-17 09:05 11 楼 0 你这个可以读写已经换页的内存吗
学技术打豆豆雪币： 170 活跃值： (8454) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 65 粉丝 344 关注私信	学技术打豆豆 1 2020-12-17 10:11 12 楼 0 killpy 你这个可以读写已经换页的内存吗当然可以
killleer 雪币： 1556 活跃值： (2117) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-12-19 12:43 13 楼 0 如果你要修改的目标进程是32位的，你就打开32位的NOTEPAD.exe，如果是64位的，你就打开64位的NOTEPAD.exe做为傀儡进程，以实现环境适应。在内核层，暂停傀儡进程的所有线程，让傀儡进程变成一个纯粹的内存空间，不要在三环创建挂起进程，会蓝。这个感觉和某老外的poc很像啊@hzqst 老外那个很早就有了，暂停runtimebroker的
killleer 雪币： 1556 活跃值： (2117) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-12-19 12:49 14 楼 0 hzqst 其实要anti也简单，遍历所有进程判断PML4前100项是否跟游戏进程相同即可，但是这样搞就变成攻防套娃了，纯属浪费时间 PCclone和kmem那玩意？
gdgdgdg 雪币： 362 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	gdgdgdg 2020-12-19 13:02 15 楼 1 自己写个虚拟机解决一切疑难杂症
学技术打豆豆雪币： 170 活跃值： (8454) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 65 粉丝 344 关注私信	学技术打豆豆 1 2020-12-22 12:26 16 楼 0 gdgdgdg 自己写个虚拟机解决一切疑难杂症
wbqsohucom 雪币： 36 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	wbqsohucom 2020-12-25 20:45 17 楼 0 学习了，谢谢
huojier 雪币： 137 活跃值： (1240) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 6 关注私信	huojier 2020-12-27 19:04 18 楼 0 我有一种设想...要干坏事的,直接把PID改了做完坏事再改回去,所以有人去试试吗?
仙乐雪币： 29 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	仙乐 2020-12-29 17:42 19 楼 0 为什么我看到不到系统调用的内核函数我是很白很白的小白
思源欲涩雪币： 331 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 45 粉丝 15 关注私信	思源欲涩 2020-12-29 20:48 20 楼 0 Win10 64 1809 能替换成功创建进程或过几秒钟到十几秒不等蓝屏报内存重叠难道是我操作不对? VOID 进程内存替换(const char* age_processname) { //int3zzzz(); pGLobalStruct = (GLOBAL_STRUCT*)ExAllocatePool(NonPagedPool, sizeof(0)); if (!pGLobalStruct) return; pGLobalStruct->pOwnProcess = (PEPROCESS)取指定进程("test.exe"); pGLobalStruct->pGameProcess = (PEPROCESS)取指定进程(age_processname); if (pGLobalStruct->pOwnProcess == NULL64 \|\| pGLobalStruct->pGameProcess == NULL64) return; PsSuspendProcess(pGLobalStruct->pOwnProcess); RtlChangeEprocess(); }
学技术打豆豆雪币： 170 活跃值： (8454) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 65 粉丝 344 关注私信	学技术打豆豆 1 2020-12-29 21:21 21 楼 0 思源欲涩 Win10 64 1809 能替换成功 创建进程或过几秒钟到十几秒不等蓝屏 报内存重叠 难道 ... pGLobalStruct = (GLOBAL_STRUCT*)ExAllocatePool(NonPagedPool, sizeof(0));
rescuo 雪币： 2358 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 156 粉丝 0 关注私信	rescuo 2020-12-29 23:44 22 楼 0 虚拟机怎么过检测
dearfuture 雪币： 2428 活跃值： (2292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 58 粉丝 1 关注私信	dearfuture 2021-2-3 04:31 23 楼 0 牛逼，以前只想过怎么构造页表，原来找个傀儡进程替换成目标进程的cr3就好了。替换vadroot，是为了解决r3内存的页异常？不过问题来了，要是r3发生缺页，应该还是当前线程挂入傀儡进程执行pf，其实也就是游戏进程的pf。但要是游戏进程的pf做了什么手脚，会不会出什么问题？
dearfuture 雪币： 2428 活跃值： (2292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 58 粉丝 1 关注私信	dearfuture 2021-2-3 05:17 24 楼 0 还有一个就是为什么是拷贝pml4前100项？系统空间最低是 0x00000800`00000000也就是2^43，所以大概2^43/2^39=16，感觉只需要拷贝pml4的前16项就可以了？
倪大大雪币： 914 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	倪大大 2021-2-19 20:37 25 楼 0 1809没几分钟就109蓝屏
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

学技术打豆豆

发帖

回帖

180

RANK

关注

私信

他的文章

[原创]Windows HyperV 和它的内存管理(一)

[分享]安卓模拟器穿透内存穿透搞完，很没有意思，等下个项目搞完了，再把这垃圾代码发出来，哎！

[原创]Windows应用层实现VmWare穿透读写，实现无签名驱动加载。

[原创]win10 1909逆向（APIC中断和实验--1、初始化）

[讨论]终极学windows内核路线图，保你一学就会，终成内核究极达人。

关于我们

联系我们

企业服务

看雪公众号

最新回复 (30) 1 2 ▶
学技术打豆豆雪币： 170 活跃值： (8454) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 65 粉丝 344 关注私信	学技术打豆豆 1 2020-12-16 11:43 2 楼 0 ..。最后于 2020-12-16 14:07 被学技术打豆豆编辑，原因：
Galesaur 雪币： 0 活跃值： (107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Galesaur 2020-12-16 11:57 3 楼 0 这个原来有人讲过，不过我好奇你的虚拟机，我想要这个
学技术打豆豆雪币： 170 活跃值： (8454) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 65 粉丝 344 关注私信	学技术打豆豆 1 2020-12-16 12:02 4 楼 0 Galesaur 这个原来有人讲过，不过我好奇你的虚拟机，我想要这个虚拟机三行代码解决
dz默契雪币： 62 活跃值： (657) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 56 粉丝 4 关注私信	dz默契 2020-12-16 12:08 5 楼 0 我豆哥得技术我这辈子都赶不上了，别怀疑啊就那个一杆进三洞都够我学一辈子了
hzqst 雪币： 12839 活跃值： (9008) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1804 粉丝 540 关注私信	hzqst 3 2020-12-16 13:41 6 楼 1 其实要anti也简单，遍历所有进程判断PML4前100项是否跟游戏进程相同即可，但是这样搞就变成攻防套娃了，纯属浪费时间
清风qfccc 雪币： 305 活跃值： (403) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 12 粉丝 4 关注私信	清风qfccc 2020-12-16 14:32 7 楼 0 豆哥牛逼
Galesaur 雪币： 0 活跃值： (107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	Galesaur 2020-12-16 15:00 8 楼 0 学技术打豆豆虚拟机三行代码解决可以双机调试不，我最近想玩玩，被按在这里了
学技术打豆豆雪币： 170 活跃值： (8454) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 65 粉丝 344 关注私信	学技术打豆豆 1 2020-12-16 15:16 9 楼 0 hzqst 其实要anti也简单，遍历所有进程判断PML4前100项是否跟游戏进程相同即可，但是这样搞就变成攻防套娃了，纯属浪费时间攻防双方本来就是技术对抗的过程，我告诉你了原理，你当然简单，你把TP的原理告诉我，我也简单！
鸭子咯咯哒雪币： 1041 活跃值： (733) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 114 粉丝 1 关注私信	鸭子咯咯哒 2020-12-16 18:32 10 楼 0 这个是一个驱动读写吗
killpy 雪币： 83 活跃值： (1052) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 651 粉丝 45 关注私信	killpy 2 2020-12-17 09:05 11 楼 0 你这个可以读写已经换页的内存吗
学技术打豆豆雪币： 170 活跃值： (8454) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 65 粉丝 344 关注私信	学技术打豆豆 1 2020-12-17 10:11 12 楼 0 killpy 你这个可以读写已经换页的内存吗当然可以
killleer 雪币： 1556 活跃值： (2117) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-12-19 12:43 13 楼 0 如果你要修改的目标进程是32位的，你就打开32位的NOTEPAD.exe，如果是64位的，你就打开64位的NOTEPAD.exe做为傀儡进程，以实现环境适应。在内核层，暂停傀儡进程的所有线程，让傀儡进程变成一个纯粹的内存空间，不要在三环创建挂起进程，会蓝。这个感觉和某老外的poc很像啊@hzqst 老外那个很早就有了，暂停runtimebroker的
killleer 雪币： 1556 活跃值： (2117) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-12-19 12:49 14 楼 0 hzqst 其实要anti也简单，遍历所有进程判断PML4前100项是否跟游戏进程相同即可，但是这样搞就变成攻防套娃了，纯属浪费时间 PCclone和kmem那玩意？
gdgdgdg 雪币： 362 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	gdgdgdg 2020-12-19 13:02 15 楼 1 自己写个虚拟机解决一切疑难杂症
学技术打豆豆雪币： 170 活跃值： (8454) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 65 粉丝 344 关注私信	学技术打豆豆 1 2020-12-22 12:26 16 楼 0 gdgdgdg 自己写个虚拟机解决一切疑难杂症
wbqsohucom 雪币： 36 活跃值： (102) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 34 粉丝 0 关注私信	wbqsohucom 2020-12-25 20:45 17 楼 0 学习了，谢谢
huojier 雪币： 137 活跃值： (1240) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 6 关注私信	huojier 2020-12-27 19:04 18 楼 0 我有一种设想...要干坏事的,直接把PID改了做完坏事再改回去,所以有人去试试吗?
仙乐雪币： 29 活跃值： (68) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 1 关注私信	仙乐 2020-12-29 17:42 19 楼 0 为什么我看到不到系统调用的内核函数我是很白很白的小白
思源欲涩雪币： 331 能力值： ( LV1，RANK：0 ) 在线值：发帖 5 回帖 45 粉丝 15 关注私信	思源欲涩 2020-12-29 20:48 20 楼 0 Win10 64 1809 能替换成功创建进程或过几秒钟到十几秒不等蓝屏报内存重叠难道是我操作不对? VOID 进程内存替换(const char* age_processname) { //int3zzzz(); pGLobalStruct = (GLOBAL_STRUCT*)ExAllocatePool(NonPagedPool, sizeof(0)); if (!pGLobalStruct) return; pGLobalStruct->pOwnProcess = (PEPROCESS)取指定进程("test.exe"); pGLobalStruct->pGameProcess = (PEPROCESS)取指定进程(age_processname); if (pGLobalStruct->pOwnProcess == NULL64 \|\| pGLobalStruct->pGameProcess == NULL64) return; PsSuspendProcess(pGLobalStruct->pOwnProcess); RtlChangeEprocess(); }
学技术打豆豆雪币： 170 活跃值： (8454) 能力值： ( LV9，RANK：180 ) 在线值：发帖 18 回帖 65 粉丝 344 关注私信	学技术打豆豆 1 2020-12-29 21:21 21 楼 0 思源欲涩 Win10 64 1809 能替换成功 创建进程或过几秒钟到十几秒不等蓝屏 报内存重叠 难道 ... pGLobalStruct = (GLOBAL_STRUCT*)ExAllocatePool(NonPagedPool, sizeof(0));
rescuo 雪币： 2358 活跃值： (278) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 156 粉丝 0 关注私信	rescuo 2020-12-29 23:44 22 楼 0 虚拟机怎么过检测
dearfuture 雪币： 2428 活跃值： (2292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 58 粉丝 1 关注私信	dearfuture 2021-2-3 04:31 23 楼 0 牛逼，以前只想过怎么构造页表，原来找个傀儡进程替换成目标进程的cr3就好了。替换vadroot，是为了解决r3内存的页异常？不过问题来了，要是r3发生缺页，应该还是当前线程挂入傀儡进程执行pf，其实也就是游戏进程的pf。但要是游戏进程的pf做了什么手脚，会不会出什么问题？
dearfuture 雪币： 2428 活跃值： (2292) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 58 粉丝 1 关注私信	dearfuture 2021-2-3 05:17 24 楼 0 还有一个就是为什么是拷贝pml4前100项？系统空间最低是 0x00000800`00000000也就是2^43，所以大概2^43/2^39=16，感觉只需要拷贝pml4的前16项就可以了？
倪大大雪币： 914 活跃值： (91) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	倪大大 2021-2-19 20:37 25 楼 0 1809没几分钟就109蓝屏
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复