[原创]过掉DNF游戏保护，仅供学习研究。不得用于非法途径。-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]过掉DNF游戏保护，仅供学习研究。不得用于非法途径。

发表于: 2009-9-8 14:05 213833

[原创]过掉DNF游戏保护，仅供学习研究。不得用于非法途径。

tufuzi

2009-9-8 14:05

213833

查看主题内容

收藏・149

免费・7

支持

最新回复 (156) ◀ 1 2 3 4 5 6 7 ▶
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 26 楼我已经说过可以用了。而且最近才写完，很明显，我一直都试过。没用我发出来干嘛蓝于不蓝看你怎么用了退一步说，校验了又如何，过不过的了在于做与不做了。 2009-9-9 20:20 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 27 楼让他的驱动先加载，我每次都是在他游戏启动后加载的，这样是没检测到的。如果你先加载驱动，他肯定会报非法模块如果是第二次开启游戏，那校验就没用了 2009-9-9 20:28 0
认真的雪雪币： 49 活跃值： (12) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 20 粉丝 0 关注私信	认真的雪 1 28 楼我说哥。。。问题你没过校验的代码。。。直接中断一关就inline hook了。。。。当然我没编译过你的代码。。并测试过你的代码。。。只是表达下我的观点。。。 2009-9-9 21:22 0
x敏m 雪币： 351 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 230 粉丝 0 关注私信	x敏m 29 楼很强大的。。。 2009-9-9 22:01 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 30 楼驱动后加载，他就没检测。。。我过什么校验。。。 2009-9-9 22:30 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 31 楼不错,有空的话,很想试试. 以前试过用RU工具,直接弹出提示说有非法程序运行,游戏自动退出,现在没这检测了? 2009-9-10 08:48 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 32 楼请教RU是什么工具？不会是RKU吧？ 2009-9-10 09:03 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 33 楼搜索了下.是RKU吧?Rootkit Unhooker? 那可能偶记错了,偶当前用的不是这个. 2009-9-10 09:11 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 34 楼你先开启RKU，然后再启动dnf 2009-9-10 09:11 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 35 楼一个名字了。。。是RKU，我说错了 2009-9-10 09:12 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 36 楼可能偶记错了,偶当时用的是另一个工具,太久了.想不起名字了. .汗. 2009-9-10 09:14 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 37 楼我记得后先开dnf后开rku是会蓝屏的，先开rku就没问题 2009-9-10 09:15 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 38 楼嗯~~~ 能过保护读写内存是一回事,修改了内存不被检测到又是另一回事了. 2009-9-10 09:34 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 39 楼这就自己研究吧 2009-9-10 09:56 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 40 楼偶还指望你能给点建议呢..=v= 2009-9-10 10:36 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 41 楼学人家的一句“到此为止，再搞下去TX就不高兴了” 2009-9-10 10:45 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 42 楼呵呵,嗯,,這里是學習的地方 2009-9-10 10:56 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 43 楼 Dspdo_1 equ 80643db6h Dmpp_1 equ 80642d5eh Dmpp_2 equ 80642d64h Dct_1 equ 806445d3h Dqm_1 equ 80643089h Kde_1 equ 804ff5fdh Dfe_1 equ 80644340h Pcp_1 equ 805d1a0dh Mcp_1 equ 805b0c06h Mcp_2 equ 805b0d7fh Dmvos_1 equ 8064497fh Dumvos_1 equ 80644a45h Pet_1 equ 805d32f8h Det_1 equ 8064486ch Dep_1 equ 806448e6h 楼主你好这些地址都是什么函数的地址，能否具体说呢？ ModifyFuncAboutDbg proc addrOdFunc, cmd_1, cmd_2 pushad mov ebx, addrOdFunc mov eax, cmd_1 mov DWORD ptr [ebx], eax mov eax, cmd_2 mov DWORD ptr [ebx + 4], eax popad ret ModifyFuncAboutDbg endp 这个函数是硬编码的，所以下面这段太难以理解了，看样子好像是弄了一个hook，不知道是sdt 的还是inline的楼主能否拿其中的一个函数举个例子。谢谢！ invoke ModifyFuncAboutDbg, Dspdo_1, 90784789h, 0fde89090h invoke ModifyFuncAboutDbg, Dmpp_1, 90787e39h, 950f9090h invoke ModifyFuncAboutDbg, Dct_1, 90785e39h, 840f9090h invoke ModifyFuncAboutDbg, Dqm_1, 9078408bh, 45899090h invoke ModifyFuncAboutDbg, Kde_1, 90787839h, 13749090h invoke ModifyFuncAboutDbg, Dfe_1, 9078418bh, 0d2329090h invoke ModifyFuncAboutDbg, Pcp_1, 90784389h, 45f69090h invoke ModifyFuncAboutDbg, Mcp_1, 90785e39h, 950f9090h invoke ModifyFuncAboutDbg, Mcp_2, 90784a89h, 5e399090h invoke ModifyFuncAboutDbg, Dmvos_1, 9078498bh, 0cb3b9090h invoke ModifyFuncAboutDbg, Dumvos_1, 00787983h, 74909090h invoke ModifyFuncAboutDbg, Pet_1, 00787f83h, 74909090h invoke ModifyFuncAboutDbg, Det_1, 9078498bh, 0c9859090h invoke ModifyFuncAboutDbg, Dep_1, 9078498bh, 0c9859090h ;invoke ModifyFuncAboutDbg, Dmpp_2, 8bc0950fh, 8b90c032h 既然是学习交流，这些都发出来了，要是能解释一下就更好了。 2009-9-10 15:17 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 44 楼楼上可以看看这个 http://bbs.pediy.com/showthread.php?t=80971 2009-9-10 16:12 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 45 楼谢谢这样就清楚多了我给整理一下： Dspdo_1 ——————DbgkpSetProcessDebugObject Dmpp_1 ——————DbgkMapViewOfSection Dmpp_2 ——————DbgkUnMapViewOfSection Dct_1 。。。。。累了有人接着我的做么.... 哎~ 不懂的看一下就明白了我就做到这里了。 2009-9-10 16:48 0
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 146 粉丝 1 关注私信	流哥 46 楼牛人啊，看到都眼花缭乱 2009-9-10 20:13 0
笑熬浆糊雪币： 389 活跃值： (967) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 229 粉丝 4 关注私信	笑熬浆糊 2 47 楼好久不上论坛一来就看到猛的 2009-9-12 11:42 0
不死小尧雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	不死小尧 48 楼拜读后,获益匪浅 2009-9-12 21:47 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 49 楼源码我都传上来了 2009-9-14 09:53 0
popeylj 雪币： 360 活跃值： (77) 能力值： ( LV9，RANK：250 ) 在线值：发帖 133 回帖 865 粉丝 1 关注私信	popeylj 6 50 楼系统环境是? 2009-9-14 16:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tufuzi

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (156) ◀ 1 2 3 4 5 6 7 ▶
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 26 楼我已经说过可以用了。而且最近才写完，很明显，我一直都试过。没用我发出来干嘛蓝于不蓝看你怎么用了退一步说，校验了又如何，过不过的了在于做与不做了。 2009-9-9 20:20 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 27 楼让他的驱动先加载，我每次都是在他游戏启动后加载的，这样是没检测到的。如果你先加载驱动，他肯定会报非法模块如果是第二次开启游戏，那校验就没用了 2009-9-9 20:28 0
认真的雪雪币： 49 活跃值： (12) 能力值： ( LV6，RANK：80 ) 在线值：发帖 12 回帖 20 粉丝 0 关注私信	认真的雪 1 28 楼我说哥。。。问题你没过校验的代码。。。直接中断一关就inline hook了。。。。当然我没编译过你的代码。。并测试过你的代码。。。只是表达下我的观点。。。 2009-9-9 21:22 0
x敏m 雪币： 351 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 230 粉丝 0 关注私信	x敏m 29 楼很强大的。。。 2009-9-9 22:01 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 30 楼驱动后加载，他就没检测。。。我过什么校验。。。 2009-9-9 22:30 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 31 楼不错,有空的话,很想试试. 以前试过用RU工具,直接弹出提示说有非法程序运行,游戏自动退出,现在没这检测了? 2009-9-10 08:48 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 32 楼请教RU是什么工具？不会是RKU吧？ 2009-9-10 09:03 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 33 楼搜索了下.是RKU吧?Rootkit Unhooker? 那可能偶记错了,偶当前用的不是这个. 2009-9-10 09:11 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 34 楼你先开启RKU，然后再启动dnf 2009-9-10 09:11 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 35 楼一个名字了。。。是RKU，我说错了 2009-9-10 09:12 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 36 楼可能偶记错了,偶当时用的是另一个工具,太久了.想不起名字了. .汗. 2009-9-10 09:14 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 37 楼我记得后先开dnf后开rku是会蓝屏的，先开rku就没问题 2009-9-10 09:15 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 38 楼嗯~~~ 能过保护读写内存是一回事,修改了内存不被检测到又是另一回事了. 2009-9-10 09:34 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 39 楼这就自己研究吧 2009-9-10 09:56 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 40 楼偶还指望你能给点建议呢..=v= 2009-9-10 10:36 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 41 楼学人家的一句“到此为止，再搞下去TX就不高兴了” 2009-9-10 10:45 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 42 楼呵呵,嗯,,這里是學習的地方 2009-9-10 10:56 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 43 楼 Dspdo_1 equ 80643db6h Dmpp_1 equ 80642d5eh Dmpp_2 equ 80642d64h Dct_1 equ 806445d3h Dqm_1 equ 80643089h Kde_1 equ 804ff5fdh Dfe_1 equ 80644340h Pcp_1 equ 805d1a0dh Mcp_1 equ 805b0c06h Mcp_2 equ 805b0d7fh Dmvos_1 equ 8064497fh Dumvos_1 equ 80644a45h Pet_1 equ 805d32f8h Det_1 equ 8064486ch Dep_1 equ 806448e6h 楼主你好这些地址都是什么函数的地址，能否具体说呢？ ModifyFuncAboutDbg proc addrOdFunc, cmd_1, cmd_2 pushad mov ebx, addrOdFunc mov eax, cmd_1 mov DWORD ptr [ebx], eax mov eax, cmd_2 mov DWORD ptr [ebx + 4], eax popad ret ModifyFuncAboutDbg endp 这个函数是硬编码的，所以下面这段太难以理解了，看样子好像是弄了一个hook，不知道是sdt 的还是inline的楼主能否拿其中的一个函数举个例子。谢谢！ invoke ModifyFuncAboutDbg, Dspdo_1, 90784789h, 0fde89090h invoke ModifyFuncAboutDbg, Dmpp_1, 90787e39h, 950f9090h invoke ModifyFuncAboutDbg, Dct_1, 90785e39h, 840f9090h invoke ModifyFuncAboutDbg, Dqm_1, 9078408bh, 45899090h invoke ModifyFuncAboutDbg, Kde_1, 90787839h, 13749090h invoke ModifyFuncAboutDbg, Dfe_1, 9078418bh, 0d2329090h invoke ModifyFuncAboutDbg, Pcp_1, 90784389h, 45f69090h invoke ModifyFuncAboutDbg, Mcp_1, 90785e39h, 950f9090h invoke ModifyFuncAboutDbg, Mcp_2, 90784a89h, 5e399090h invoke ModifyFuncAboutDbg, Dmvos_1, 9078498bh, 0cb3b9090h invoke ModifyFuncAboutDbg, Dumvos_1, 00787983h, 74909090h invoke ModifyFuncAboutDbg, Pet_1, 00787f83h, 74909090h invoke ModifyFuncAboutDbg, Det_1, 9078498bh, 0c9859090h invoke ModifyFuncAboutDbg, Dep_1, 9078498bh, 0c9859090h ;invoke ModifyFuncAboutDbg, Dmpp_2, 8bc0950fh, 8b90c032h 既然是学习交流，这些都发出来了，要是能解释一下就更好了。 2009-9-10 15:17 0
Akihyou 雪币： 460 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	Akihyou 44 楼楼上可以看看这个 http://bbs.pediy.com/showthread.php?t=80971 2009-9-10 16:12 0
madaxian 雪币： 246 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 65 回帖 216 粉丝 0 关注私信	madaxian 45 楼谢谢这样就清楚多了我给整理一下： Dspdo_1 ——————DbgkpSetProcessDebugObject Dmpp_1 ——————DbgkMapViewOfSection Dmpp_2 ——————DbgkUnMapViewOfSection Dct_1 。。。。。累了有人接着我的做么.... 哎~ 不懂的看一下就明白了我就做到这里了。 2009-9-10 16:48 0
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 146 粉丝 1 关注私信	流哥 46 楼牛人啊，看到都眼花缭乱 2009-9-10 20:13 0
笑熬浆糊雪币： 389 活跃值： (967) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 229 粉丝 4 关注私信	笑熬浆糊 2 47 楼好久不上论坛一来就看到猛的 2009-9-12 11:42 0
不死小尧雪币： 112 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	不死小尧 48 楼拜读后,获益匪浅 2009-9-12 21:47 0
tufuzi 雪币： 159 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 79 粉丝 0 关注私信	tufuzi 49 楼源码我都传上来了 2009-9-14 09:53 0
popeylj 雪币： 360 活跃值： (77) 能力值： ( LV9，RANK：250 ) 在线值：发帖 133 回帖 865 粉丝 1 关注私信	popeylj 6 50 楼系统环境是? 2009-9-14 16:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复