首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 求助问答
    3. 发新帖
未解决 24年QQ仙侠传是否加强了反调试?目前在跟任鸟飞的22年的课
发表于: 2024-3-4 20:28 3883

未解决 24年QQ仙侠传是否加强了反调试?目前在跟任鸟飞的22年的课

巡璃 活跃值
2024-3-4 20:28
3883

Web转二进制学的头疼,所以想找个游戏练练手,特地选了个老游戏试试水。
目前在看任鸟飞22年录制的QQ仙侠传逆向课程。
该游戏官网下载链接不更新,但Wegame里还是在放补丁包。
仔细观察了下任鸟飞的视频,除了x64dbg和CE改了改窗口字符串,感觉也没啥,也没用什么反调试插件,就可以附加游戏且无问题。

但近日测试,x64dbg和CE附加后,游戏过几秒就会暂停,F9运行游戏恢复几秒又暂停,重复多次后游戏崩溃。
但CE搜数值是能正常搜,且和视频一致没有什么加密。
所以很疑惑到底是游戏反调试做了变动还是任鸟飞有特殊操作。

目前测试过以下操作:
1.重编译CE及其dbk驱动,且修改相关字符串,常规附加问题依旧,但使用DBVM模式可行。
2.使用官方原版CE以及dbk驱动,结果和1一样。
3.x64dbg使用多个反调试插件,scyllahide、hyperhide、titanhide。
scyllahide: 插件使用成功,但效果不明显,只是稍微延缓了崩溃的时间
titanhide:启动失败,原因未知
hyperhide:启动该驱动就蓝屏,后发现是airhv不支持amd的CPU

所以想请教一下该游戏是否加强了反调试,但这游戏都那么老了,而且数值都随便搜,感觉也不应该呀。如果是的话就先换个简单的游戏练手。
DBVM能过说明R0级调试即可,但我这titanhide和hyperhide都没成功,有点不自信了。
感谢回复。
Win11 23H2,CE和x64dbg皆是最新。


[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

收藏
免费 0
支持
分享
最新回复 (7)
_DriverEntry
雪    币: 2851
活跃值: (5149)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
2
“除了x64dbg和CE改了改窗口字符串,感觉也没啥”这就说明那货买了调试器,或者自己写了
2024-3-5 08:37
0
周游列国
雪    币: 733
活跃值: (2269)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
用 DbgPlugin试试 
2024-3-5 08:38
0
巡璃
雪    币: 20
活跃值: (67)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
周游列国 用 DbgPlugin试试
谢谢喵。后续测试了下,x32dbg忽略异常,加上隐藏PEB就能过反调试,看来还是可以拿来练手的。暂时没啥问题,就是左下角一直报异常有点烦人,后续再考虑更深入的处理
2024-3-5 23:04
0
巡璃
雪    币: 20
活跃值: (67)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
_DriverEntry “除了x64dbg和CE改了改窗口字符串,感觉也没啥”这就说明那货买了调试器,或者自己写了[em_13]
hhh,视频后面确实有在用付费的调试器
2024-3-5 23:05
0
逆向爱好者
雪    币: 1751
活跃值: (4838)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
6
dbg忽略异常有个bug,不能忽略,导致一直接受程序抛出的异常,如果异常还没有尽快处理可能会导致一些问题,游戏安全人员应该是这样反调试的
2024-3-18 18:12
0
mb_ghybfdph
雪    币: 3
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
7
大佬22年课程可以分享吗
2024-12-13 15:39
0
巡璃
雪    币: 20
活跃值: (67)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
mb_ghybfdph 大佬22年课程可以分享吗
咸鱼有
2024-12-15 12:46
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
// // 统计代码