首页
社区
课程
招聘
[原创] 如何调试魔兽世界
发表于: 2021-6-4 21:03 18863

[原创] 如何调试魔兽世界

2021-6-4 21:03
18863

如何调试魔兽世界

 

前言
魔兽世界采用了多种反调试手段
只有隐藏掉调试器,才能进行调试
这里采用的是 内核驱动的方式来实现调试器隐藏

 

工具列表
调试器:xdbg64
调试器插件:TitanHide 内核级别的调试器隐藏插件
驱动管理程序:
过patchguard工具:EfiGuard
第一步:为了使用没有经过微软认证的驱动,打开系统的测试模式
以管理员身份启动cmd,然后执行
bcdedit /set testsigning on
我已经设置过了

 

第二步:然后重启系统,启动系统时,使用上个视频教程做的U盘启动,禁用掉系统的 patchguard

 

第三步 下载 调试插件 TitanHide
https://github.com/mrexodia/TitanHide

 

第四步:安装驱动 并 启动驱动
网上下载的那个没测试证书
下载源码 用自己编译的可以用
第五步:设置
找到 x64dbg 进程id
现在可以调试了

 

禁用patchguard 视频教程1
禁用patchguard 视频教程2
魔兽世界调试视频教程


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2021-6-4 21:50 被freeGod编辑 ,原因:
收藏
免费 8
支持
分享
最新回复 (14)
雪    币: 124
活跃值: (297)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
 如何调试神武4
2021-6-5 08:02
0
雪    币: 248
活跃值: (3789)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3

x64dbg有很多插件可以配合使用

最后于 2021-6-5 11:41 被luskyc编辑 ,原因:
2021-6-5 11:41
0
雪    币: 6096
活跃值: (5515)
能力值: ( LV5,RANK:65 )
在线值:
发帖
回帖
粉丝
4
感谢分享,先收藏了!
2021-6-5 14:10
0
雪    币: 8216
活跃值: (3887)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
5
感谢分享
2021-6-5 14:57
0
雪    币: 1811
活跃值: (4025)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
魔兽调试不需要r0,r3就可以
2021-6-6 10:44
0
雪    币: 375
活跃值: (356)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
感谢分享
2021-6-8 13:17
0
雪    币: 6307
活跃值: (3837)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
为什么我用过期证书去签名别的驱动,能加载;但是签名TitanHide加载的时候却蓝屏呢?
2021-6-16 10:27
0
雪    币: 515
活跃值: (642)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
感谢大佬。。。
2021-6-25 05:25
0
雪    币: 63
活跃值: (89)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
小希希 魔兽调试不需要r0,r3就可以
下断不到1分钟就异常怎么办,大佬给个思路吧
2021-6-25 06:17
0
雪    币: 515
活跃值: (642)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
fullxu 下断不到1分钟就异常怎么办,大佬给个思路吧
我下不了断点,请问你是怎么可以下断点的呢?
2021-6-25 14:40
0
雪    币: 63
活跃值: (89)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
阿能 我下不了断点,请问你是怎么可以下断点的呢?
怀旧服启动后会把自身代码段重映射成只读,这种情况是下不了int3断点的。你需要再次把它重映射成可写,可以参考这位大佬提供的方法
https://bbs.pediy.com/thread-268057.htm
2021-6-25 17:57
0
雪    币: 515
活跃值: (642)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
fullxu 怀旧服启动后会把自身代码段重映射成只读,这种情况是下不了int3断点的。你需要再次把它重映射成可写,可以参考这位大佬提供的方法 https://bbs.pediy.com/thread-268057 ...
谢谢哈。。。
2021-6-25 22:03
0
雪    币: 27
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
14

按照步骤都设置好了,为什么打开WoWClassic.EXE就调试结束了呢?日志如下:

正在调试:D:\Game\World of Warcraft\_classic_\WowClassic.exe
数据库文件: D:\RE\x64dbg\release\x64\db\WowClassic.exe.dd64
进程已启动: 00007FF6C6B70000 D:\Game\World of Warcraft\_classic_\WowClassic.exe
  "D:\Game\World of Warcraft\_classic_\WowClassic.exe"
  argv[0]: D:\Game\World of Warcraft\_classic_\WowClassic.exe
DLL已载入: 00007FFB43860000 C:\Windows\System32\ntdll.dll
DLL已载入: 00007FFB410B0000 C:\Windows\System32\kernel32.dll
DLL已载入: 00007FFB3FB80000 C:\Windows\System32\KernelBase.dll
DLL已载入: 00007FFB42D80000 C:\Windows\System32\user32.dll
DLL已载入: 00007FFB40070000 C:\Windows\System32\win32u.dll
DLL已载入: 00007FFB43250000 C:\Windows\System32\gdi32.dll
DLL已载入: 00007FFB3F930000 C:\Windows\System32\gdi32full.dll
DLL已载入: 00007FFB3FF80000 C:\Windows\System32\msvcp_win.dll
DLL已载入: 00007FFB3FE20000 C:\Windows\System32\ucrtbase.dll
线程 1DE0 已启动,入口: ntdll.00007FFB438AFF80
线程 17E0 已启动,入口: ntdll.00007FFB438AFF80
线程 1594 已启动,入口: ntdll.00007FFB438AFF80
已到达系统断点!
DLL已载入: 00007FFB40BC0000 C:\Windows\System32\imm32.dll
EXCEPTION_DEBUG_INFO:
           dwFirstChance: 1
           ExceptionCode: C0000005 (EXCEPTION_ACCESS_VIOLATION)
          ExceptionFlags: 00000000
        ExceptionAddress: 00007FF6C6F4B39B wowclassic.00007FF6C6F4B39B
        NumberParameters: 2
ExceptionInformation[00]: 0000000000000000 Read
ExceptionInformation[01]: 0000000000000000 Inaccessible Address
第一次异常于 00007FF6C6F4B39B (C0000005, EXCEPTION_ACCESS_VIOLATION)!
EXCEPTION_DEBUG_INFO:
           dwFirstChance: 0
           ExceptionCode: C0000005 (EXCEPTION_ACCESS_VIOLATION)
          ExceptionFlags: 00000000
        ExceptionAddress: 00007FF6C6F4B39B wowclassic.00007FF6C6F4B39B
        NumberParameters: 2
ExceptionInformation[00]: 0000000000000000 Read
ExceptionInformation[01]: 0000000000000000 Inaccessible Address
第二次异常于 00007FF6C6F4B39B (C0000005, EXCEPTION_ACCESS_VIOLATION)!
线程 D4 已退出
线程 1DE0 已退出
线程 17E0 已退出
进程已停止,退出码为 0xC0000005
正在将数据库保存于 D:\RE\x64dbg\release\x64\db\WowClassic.exe.dd64 15毫秒
调试结束!

最后于 2021-8-16 10:26 被hyleallead编辑 ,原因:
2021-8-16 10:11
0
雪    币: 237
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
我试着用版主提供的EFI,测试笔记本已经无法再启动起来......连bois都无法进入
2021-9-28 08:58
0
游客
登录 | 注册 方可回帖
返回
//