作 者: crazyearl
時 間: 2010-12-20,02:37:22
鏈接: http://bbs.pediy.com/showthread.php?t=126802
聲明:本文只為研究技術,請所有童鞋切勿使用本文之方法做下那天理難容罪惡不捨之壞事。
既是研究遊戲保護,那麼總要有一個研究對象。本文就以TMD_TP這款遊戲保護為例進行分析講解。請勿對號入座,如有雷同之處。純屬反彙編引擎之錯誤,不關我的事!
轉載請註明出處
關鍵字:DNF 驅動保護
鑑於最近很多同學找上門來求解這那問題,反正這東西又不是絕密檔案,放在我手里大半個月了,還不如放出來讓大家一起進步算了。另外都是取之看雪還之看雪罷了。
索性我也就公佈一個全套的方案。絕無其他意思,所以還請同道中人嘴下留情。切勿背地使壞!
在正式開篇之前我要感謝看雪ID:十年寒窗在我最困惑的時候,他給予了最大的幫助!另外還有一位和我同歲的神秘人物也給予了不小的幫助,感謝你們。
廢話了半天,正式開始吧。
tmd_TP也就是國內比較流行的遊戲D_N*F的遊戲保護。
它在ring0層一共HOOK了幾個地方和一些其他的工作。來達到保護的目的
下面是簡報:
引用:
NtOpenThread //防止調試器在它體內創建線程
NtOpenProcess //防止OD等在進程列表看到它
KiAttachProcess //防止其他軟件附加它
NtReadVirtualMemory //防止別人讀取它的內存
NtWriteVirtualMemory //防止別人在它的內存裡面亂寫亂畫
KDCOM.dll:KdReceivePacket //這兩個是COM串口的接受和發送數據
KDCOM.dll:KdSendPacket //主要用來方式別人雙機調試
使用了KdDisableDebugger來禁用雙機調試
代碼:
.text:010025F0 jz short loc_1002622
.text:010025F2 call sub_10022A4
.text:010025F7 call ds:KdDisableDebugger
.text:010025FD push offset byte_10022EC
.text:01002602 push esi
.text:01002603 push offset byte_10022DC
.text:01002608 push edi
.text:01002609 push dword_100CF24
並對debugport進行了瘋狂的清零操作
甚至還包括EPROCESS+70\+74\+78等幾處位置
處理的手段通常都是向64端口寫入FE導致計算機被重啟
代碼:
.text:01001665 mov al, 0FEh
.text:01001667 out 64h, al ; AT Keyboard controller 8042.
.text:01001667 ; Resend the last transmission
.text:01001669 popa
.text:0100166A retn
下面簡單看下他關鍵的幾個HOOK:
KiAttachProcess
NtReadVirtualMemory
NtWriteVirtualMemory
NtOpenThread
NtOpenProcess
引用:
其中,前3個直接恢復即可。
第4個有監視,直接恢復即刻重啟
第5個和ring3有通信,直接恢復1分鐘內SX非法模塊
根據上面的分析,下面給出相應的解決方案
1.直接恢復 第1、2、3處HOOK
2.繞過4、5處HOOK
3.將debugport清零的內核線程幹掉
4.恢復硬件斷點
但是要有一個先後的邏輯順序
因為內核有一個線程負責監視幾個地方,必須要先乾掉它。
但是這個內容我寫在了處理debugport清零的一起,也就是第3步。所以大家在照搬源碼的時候
注意代碼執行次序
先從簡單的工作講起,恢復1、2、3處的HOOK
KiAttachProcess的處理
代碼:
////////////////////////////////////////////////// ////////////////////
// 名稱: Nakd_KiAttachProcess
// 功能: My_RecoveryHook_KiAttachProcess的中繼函數
// 參數:
// 返回:
////////////////////////////////////////////////// ////////////////////
static NAKED VOID Nakd_KiAttachProcess()
{
__asm
{
mov edi,edi
push ebp
mov ebp,esp
push ebx
push esi
mov eax,KiAttachProcessAddress //注意這個是全局變量BYTE*
add eax,7
jmp eax
}
}
////////////////////////////////////////////////// ////////////////////
// 名稱: RecoveryHook_KiAttachProcess
// 功能: 解除遊戲保護對_KiAttachProcess函數的HOOK(DNF)
// 參數:
// 返回: 狀態
////////////////////////////////////////////////// ////////////////////
NTSTATUS My_RecoveryHook_KiAttachProcess()
{
BYTE *KeAttachProcessAddress = NULL; //KeAttachProcess函數地址
BYTE *p;
BYTE MovEaxAddress[5] = {0xB8,0,0,0,0}; //
BYTE JmpEax[2] = {0xff,0xe0};
KIRQL Irql;
//特徵碼
BYTE Signature1 = 0x56, //p-1
Signature2 = 0x57, //p-2
Signature3 = 0x5F, //p-3
Signature4 = 0x5E, //p+5
Signature5 = 0xE8; //p第一個字節
//獲得KeAttachProcess地址,然後通過特徵碼找到
//KiAttachProcess的地址
KeAttachProcessAddress = (BYTE*)MyGetFunAddress(L"KeAttachProcess");
if (KeAttachProcessAddress == NULL)
{
KdPrint(("KeAttachProcess地址獲取失敗\n"));
return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
}
//將p指向KeAttachProcess函數開始處
p = KeAttachProcessAddress;
while (1)
{
if ((*(p-1) == Signature1) &&
(*(p-2) == Signature2) &&
(*(p+5) == Signature3) &&
(*(p+6) == Signature4) &&
(*p == Signature5))
{
//定位成功後取地址
KiAttachProcessAddress = *(PULONG)(p+1)+(ULONG)(p+5);
break;
}
//推動指針
p++;
}
//計算中繼函數地址
*(ULONG *)(MovEaxAddress+1)=(ULONG)Nakd_KiAttachProcess;
WPOFF(); //清除CR0
//提升IRQL中斷級
Irql=KeRaiseIrqlToDpcLevel();
//寫入
RtlCopyMemory(KiAttachProcessAddress,MovEaxAddress,5);
RtlCopyMemory(KiAttachProcessAddress+5,JmpEax,2);
//恢復Irql
KeLowerIrql(Irql);
WPON(); //恢復CR0
return STATUS_SUCCESS;
}
NtReadVirtualMemory和
NtWriteVirtualMemory的處理
注意這裡,我對他們倆開頭的第2句PUSH的處理
我直接寫入了push 0x78563412
大家可以根據自己的地址來硬編碼一次。
或者乾脆這樣使用
代碼:
////////////////////////////////////////////////// ////////////////////
// 名稱: My_RecoveryHook_NtReadAndWriteMemory
// 功能: 解除遊戲保護對NtReadVirtualMemory和
// NtWriteVirtualMemory的HOOK
// 參數:
// 返回:
////////////////////////////////////////////////// ////////////////////
NTSTATUS My_RecoveryHook_NtReadAndWriteMemory()
{
BYTE Push1Ch[2] = {0x6a,0x1c}; //0~2字節
BYTE PushAdd[5] = {0x68,0x12,0x34,0x56,0x78}; //NtReadVirtualMemory[物理機]
//BYTE PushAdd2[5] = {0x68,0xf0,0x6f,0x4f,0x80}; //NtWriteVirtualMemory[物理機]
KIRQL Irql;
BYTE *NtReadVirtualMemoryAddress = NULL; //NtReadVirtualMemory的地址
BYTE *NtWriteVirtualMemoryAddress = NULL; //NtWriteVirtualMemory的地址
//從SSDT表中獲取NtReadVirtualMemory函數地址
NtReadVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0xBA);
if (NtReadVirtualMemoryAddress == NULL)
{
KdPrint(("NtReadVirtualMemory函數地址獲取失敗! \n"));
return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
}
//從SSDT表中獲取NtWriteVirtualMemory函數地址
NtWriteVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0x115);
if (NtWriteVirtualMemoryAddress == NULL)
{
KdPrint(("NtWriteVirtualMemory函數地址獲取失敗! \n"));
return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
}
WPOFF(); //清除CR0
//提升IRQL中斷級
Irql=KeRaiseIrqlToDpcLevel();
//寫入
RtlCopyMemory(NtReadVirtualMemoryAddress,Push1Ch,2);
RtlCopyMemory(NtReadVirtualMemoryAddress+2,PushAdd,5);
RtlCopyMemory(NtWriteVirtualMemoryAddress,Push1Ch,2);
RtlCopyMemory(NtWriteVirtualMemoryAddress+2,PushAdd,5);
//恢復Irql
KeLowerIrql(Irql);
WPON(); //恢復CR0
return STATUS_SUCCESS;
}
好了,下面來處理
NtOpenProcess和
NtOpenThread
這兩個函數的處理上不能太魯莽了。
手法要風騷一點細膩一點了
介於篇幅的原因,我只貼出來前者的處理方法,後者雷同
細微之處大家自行修改。我總不能真的給你方法又給你工具。眼看著自己變成教唆犯
代碼:
//NtOpenProcess用到的全局變量[為了方便堆棧平衡的處理使用全局變量]
PEPROCESS processEPROCESS = NULL; //保存訪問者的EPROCESS
ANSI_STRING p_str1,p_str2; //保存進程名稱
BYTE *ObOpenObjectByPointerAddress = NULL; //ObOpenObjectByPointer的地址
BYTE *p_TpHookAddress = NULL; //TP的HOOK函數地址
BYTE *p_ReturnAddress = NULL; //返回到的地址
BYTE *p_MyHookAddress = NULL; //我們的HOOK函數在哪寫入
#define DNF_EXE "DNF.exe" //要檢索的進程名
////////////////////////////////////////////////// ////////////////////
// 名稱: Nakd_NtOpenProcess
// 功能: My_RecoveryHook_NtOpenProcess的中繼函數
// 參數:
// 返回:
////////////////////////////////////////////////// ////////////////////
static NAKED VOID Nakd_NtOpenProcess()
{
//獲得調用者的EPROCESS
processEPROCESS = IoGetCurrentProcess();
//將調用者的進程名保存到str1中
RtlInitAnsiString(&p_str1,(ULONG)processEPROCESS+0x174);
//將我們要比對的進程名放入str2
RtlInitAnsiString(&p_str2,DNF_EXE);
if (RtlCompareString(&p_str1,&p_str2,TRUE) == 0)
{
//說明是DNF進程訪問了這裡
__asm
{
push dword ptr [ebp-38h]
push dword ptr [ebp-24h]
push p_ReturnAddress
mov eax,p_TpHookAddress
jmp eax
}
}
else
{
__asm
{
push dword ptr [ebp-38h]
push dword ptr [ebp-24h]
push p_ReturnAddress
mov eax,ObOpenObjectByPointerAddress
jmp eax
}
}
}
////////////////////////////////////////////////// ////////////////////
// 名稱: My_RecoveryHook_NtOpenProcess
// 功能: 解除遊戲保護對NtOpenProcess的HOOK
// 參數:
// 返回: 狀態
////////////////////////////////////////////////// ////////////////////
NTSTATUS My_RecoveryHook_NtOpenProcess()
{
BYTE *NtOpenProcessAddress = NULL; //NtOpenProcess的地址
BYTE *p = NULL; //臨時
TOP5CODE *top5code = NULL; //保存5字節內容
BYTE JmpAddress[6] = {0xE9,0,0,0,0,0x90};
KIRQL Irql;
//獲取NtOpenProcess的地址
NtOpenProcessAddress = (BYTE*)MyGetFunAddress(L"NtOpenProcess");
if (NtOpenProcessAddress == NULL)
{
KdPrint(("NtOpenProcess地址獲取失敗\n"));
return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
}
//獲取ObOpenObjectByPointer的地址
ObOpenObjectByPointerAddress = (BYTE*)MyGetFunAddress(L"ObOpenObjectByPointer");
if (ObOpenObjectByPointerAddress == NULL)
{
KdPrint(("ObOpenObjectByPointer地址獲取失敗\n"));
return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
}
//將p指向NtOpenProcess函數開始處
p = NtOpenProcessAddress;
//用一個無限循環來判斷給定的特徵碼來確定被HOOK位置
while (1)
{
if ((*(p-7) == 0x50) &&
(*(p-0xE) == 0x56) &&
(*(p+0xd) == 0x50) &&
(*(p+0x16) == 0x3b) &&
(*(p+0x17) == 0xce) &&
(*p == 0xE8) &&
(*(p+5) == 0x8b) &&
(*(p+6) == 0xf8))
{
KdPrint(("%0X \n",(ULONG)p));
break;
}
//推動指針向前走
p++;
}
//將top5code指向 p 的當前處
//用以取出call [地址] 這5字節裡面的地址
top5code = (TOP5CODE*)p;
p_TpHookAddress = (BYTE*)((ULONG)p+5+top5code->address);
//找到我們寫入自定義函數的地址
p_MyHookAddress = p-6;
//保存調用ObOpenObjectByPointer函數以後的返回地址
p_ReturnAddress = p+5;
//將一條JMP Nakd_NtOpenProcess寫入到數組中
*(ULONG *)(JmpAddress+1)=(ULONG)Nakd_NtOpenProcess - ((ULONG)p_MyHookAddress+5);
WPOFF(); //清除CR0
//提升IRQL中斷級
Irql=KeRaiseIrqlToDpcLevel();
//寫入
RtlCopyMemory(p_MyHookAddress,JmpAddress,6);
//恢復Irql
KeLowerIrql(Irql);
WPON(); //恢復CR0
return STATUS_SUCCESS;
}
處理之後:
簡而言之其原理就是,任何人調用了NtOpenProcess的時候會先進入
Nakd_NtOpenProcess函數,我們判斷。如果是遊戲進程訪問的話,就有可能是驗證之類的
我們轉到它自己的函數里面。讓它保持與ring3層的通信。否則的話,嘿嘿……
接下來是第3步處理debugport清零的這塊了。
我想絕大多數人關心的都是這裡了
網絡上能搜多到的辦法幾乎都失效了
有辦法的人又不肯放出來,急眼了就自己想了個土辦法
雖然不那麼時尚。但是絕對的奏效。
由於代碼凌亂不堪,簡單說下其原理。
我們定位內核模塊TxxxSxxx.sys的首地址
然後根據特徵碼遍歷整個模塊找到我們需要的地方,然後乾掉他們。
那麼我們又如何能夠通過人工的判斷出來到底是哪裡在作怪呢
利用syser或Start SoftICE對EPROCESS+BC處設置斷點。就可以一層一層的追溯上去了
到底如何用他們,我想大家自己多花點時間在看雪和GOOGLE或者BAIDU上面是不會吃虧的。
由於ZwQuerySystemInformation函數的使用非常繁瑣。而且篇幅有限。所以我只給出關鍵代碼,至於這個函數如何使用。大家可以自己在搜索引擎找“枚舉內核模塊”
代碼:
////////////////////////////////////////////////// ////////////////////
// 名稱: MyEnumKernelModule
// 功能: 枚舉內核模塊
// 參數: str:內核模塊名稱
// moduleadd:該模塊地址[傳出]
// modulesie:該模塊大小[傳出]
// 返回:
////////////////////////////////////////////////// ////////////////////
NTSTATUS MyEnumKernelModule(IN CHAR* str,OUT ULONG *moduleadd,OUT ULONG *modulesie)
{
NTSTATUS status = STATUS_SUCCESS;
ULONG n = 0;
ULONG i = 0;
PSYSTEM_MODULE_INFORMATION_ENTRY module = NULL;
PVOID pbuftmp = NULL;
ANSI_STRING ModuleName1,ModuleName2;
BOOLEAN tlgstst= FALSE; //如果找到了指定模塊則設置為TRUE
//利用11號功能枚舉內核模塊
status = ZwQuerySystemInformation(11, &n, 0, &n);
//申請內存
pbuftmp = ExAllocatePool(NonPagedPool, n);
//再次執行,將枚舉結果放到指定的內存區域
status = ZwQuerySystemInformation(11, pbuftmp, n, NULL);
module = (PSYSTEM_MODULE_INFORMATION_ENTRY)((PULONG )pbuftmp + 1 );
//初始化字符串
RtlInitAnsiString(&ModuleName1,str);
//
n = *((PULONG)pbuftmp );
for ( i = 0; i < n; i++ )
{
RtlInitAnsiString(&ModuleName2,&module[i].ImageName);
//DbgPrint("%d\t0x%08X 0x%08X %s\n",module[i].LoadOrderIndex,module[i].Base,module[i].Size,module[i].ImageName);
if (RtlCompareString(&ModuleName1,&ModuleName2,TRUE) == 0)
{
DbgPrint("MyEnumKernelModule:%s:%0X \n",ModuleName2.Buffer,module[i].Base);
*moduleadd = module[i].Base;
*modulesie = module[i].Size;
tlgstst = TRUE;
break;
}
}
ExFreePool(pbuftmp);
if tlgstst == FALSE)
{
return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
}
return status;
}
////////////////////////////////////////////////// ////////////////////
// 名稱: My_Recovery_Debugport
// 功能: 恢復遊戲對debugport的清零操作
// 參數:
// 返回:
////////////////////////////////////////////////// ////////////////////
NTSTATUS My_Recovery_Debugport()
{
NTSTATUS stats;
BYTE *sd1 = NULL,*sd2 = NULL,*pd = NULL;
ULONG ModuleSize,ModuleAddress,i,number = 0;
BYTE *p;
KIRQL Irql;
BYTE C390[2] = {0xc3,0x90};
//獲取指定的內核模塊地址和字節數
stats = MyEnumKernelModule("\\??\\c:\\windows\\system32\\tessafe.sys",&ModuleAddress,&ModuleSize);
if (stats == FAILED_TO_OBTAIN_FUNCTION_ADDRESSES)
{
return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
}
KdPrint(("Address:%0X Sie:%d \n",ModuleAddress,ModuleSize));
//特徵碼
/* sd1特徵
p-1:18 p-2:87 p-3:DB p-4:33 p-5:07
p-6:03 p :33 p+1:C0 p+7:3B p+8:D8
sd2特徵
p-1:07 p-2:87 p-3:c0 p-4:33 p+14:89
p+15:1c p+16:38
*/
//將P指向內核模塊開始處
p = (BYTE*)ModuleAddress + 20;
for (i = 0; i < ModuleSize - 20; i++,p++)
{
//sd1
if ((*(p-1) == 0x18) &&
(*(p-2) == 0x87) &&
(*(p-3) == 0xDB) &&
(*(p-4) == 0x33) &&
(*(p-5) == 0x07) &&
(*(p-6) == 0x03) &&
(*p == 0x33) &&
(*(p+1) == 0xC0) &&
(*(p+7) == 0x3B) &&
(*(p+8) == 0xD8) )
{
KdPrint(("--SD1 -- %0X \n",(ULONG)p));
sd1 = p;
number+=1; //記錄已經獲取一個特徵
}
//sd2
if ((*(p-1) == 0x07) &&
(*(p-2) == 0x87) &&
(*(p-3) == 0xC0) &&
(*(p-4) == 0x33) &&
(*(p+14)== 0x89) &&
(*(p+15)== 0x1C) &&
(*(p+16)== 0x38) &&
(*p == 0xA1))
{
KdPrint(("--SD2 -- %0X \n",(ULONG)p));
sd2 = p;
number+=1; //記錄已經獲取一個特徵
}
//pd
if ((*(p-2) == 0xE3) &&
(*(p-3) == 0xC1) &&
(*(p-7) == 0xF3) &&
(*(p-8) == 0x33) &&
(*(p-10)== 0xEB) &&
(*(p-11)== 0xC1) &&
(*(p+1) == 0xF3) &&
(*(p+2) == 0x42) &&
(*(p+3) == 0x3B) &&
(*(p+4) == 0xD1) &&
(*p == 0x33))
{
KdPrint(("--PD -- %0X \n",(ULONG)p));
pd = p;
number+=1; //記錄已經獲取一個特徵
}
if (number >= 3)
{
KdPrint(("特徵 %d ---退出\n",number));
break;
}
}
//首先乾掉監視函數
while (1)
{
if ((*(pd-1) == 0xcc) && (*(pd-2) == 0xcc))
{
KdPrint(("pd首地址:%0X \n",(ULONG)pd));
WPOFF(); //清除CR0
//提升IRQL中斷級
Irql=KeRaiseIrqlToDpcLevel();
//寫入
RtlCopyMemory(pd,C390,2);
//恢復Irql
KeLowerIrql(Irql);
WPON(); //恢復CR0
break;
}
pd--;
}
//幹掉2個SD
while (1)
{
if ((*(sd1-1) == 0xcc) && (*(sd1-2) == 0xcc))
{
KdPrint(("sd1首地址:%0X \n",(ULONG)sd1));
WPOFF(); //清除CR0
//提升IRQL中斷級
Irql=KeRaiseIrqlToDpcLevel();
//寫入
RtlCopyMemory(sd1,C390,2);
//恢復Irql
KeLowerIrql(Irql);
WPON(); //恢復CR0
break;
}
sd1--;
}
while (1)
{
if ((*(sd2-1) == 0xcc) && (*(sd2-2) == 0xcc))
{
KdPrint(("sd2首地址:%0X \n",(ULONG)sd2));
WPOFF(); //清除CR0
//提升IRQL中斷級
Irql=KeRaiseIrqlToDpcLevel();
//寫入
RtlCopyMemory(sd2,C390,2);
//恢復Irql
KeLowerIrql(Irql);
WPON(); //恢復CR0
break;
}
sd2--;
}
return STATUS_SUCCESS;
}
最後,處理一下硬件斷點就可以了
這裡我們使用到了SSDT HOOK
分別HOOK了SSDT 表中索引為0xD5和0x55的函數。由於這裡比較簡單
我想10個人有9個人懂得SSDT HOOK的。所以直接給出源碼,不做原理分析了
代碼:
//處理硬件斷點時
ULONG uNtSetContextThreadAddress;
ULONG uNtGetContextThreadAddress;
ULONG TenNtSetContextThread,
TenNtGetContextThread;
////////////////////////////////////////////////// ////////////////////
// 名稱: _MyNtGetThreadContext
// 功能: 兩個SSDT HOOK偽造函數的中繼函數
// 參數:
// 返回:
////////////////////////////////////////////////// ////////////////////
static NAKED NTSTATUS Nakd_NtGetThreadContext(HANDLE hThread, PCONTEXT pContext)
{
__asm
{
jmp dword ptr[TenNtGetContextThread]
}
}
static NAKED NTSTATUS Nakd_NtSetThreadContext(HANDLE hThread, PCONTEXT pContext)
{
__asm
{
jmp dword ptr[TenNtSetContextThread]
}
}
////////////////////////////////////////////////// ////////////////////
// 名稱: MyNtGetThreadContext && MyNtSetThreadContext
// 功能: NtGetThreadContext與NtSetThreadContext函數被SSDT HOOK的偽造函數
// 參數:
// 返回:
////////////////////////////////////////////////// ////////////////////
NTSTATUS MyNtGetThreadContext(HANDLE hThread, PCONTEXT pContext)
{
if ( _stricmp((const char*)PsGetProcessImageFileName(PsGetCurrentProcess()),DNF_EXE) )
{
return Nakd_NtGetThreadContext(hThread, pContext);
}
return STATUS_UNSUCCESSFUL;
}
NTSTATUS MyNtSetThreadContext(HANDLE hThread, PCONTEXT pContext)
{
if ( _stricmp((const char*)PsGetProcessImageFileName(PsGetCurrentProcess()),DNF_EXE) )
{
return Nakd_NtSetThreadContext(hThread, pContext);
}
//DbgPrint("Dr7:%08X\n", pContext->Dr7);
if ( pContext->Dr7 == 0x101 )
{
return Nakd_NtSetThreadContext(hThread, pContext);
}
return STATUS_UNSUCCESSFUL;
}
////////////////////////////////////////////////// ////////////////////
// 名稱: My_Recovery_HardwareBreakpoint
// 功能: 通過對set與get進行SSDT HOOK來恢復硬件斷點
// 參數:
// 返回:
////////////////////////////////////////////////// ////////////////////
NTSTATUS My_Recovery_HardwareBreakpoint()
{
KIRQL Irql;
//獲取地址
uNtSetContextThreadAddress = (ULONG)KeServiceDescriptorTable->ServiceTableBase+0xD5 * 4;
uNtGetContextThreadAddress = (ULONG)KeServiceDescriptorTable->ServiceTableBase+0x55 * 4;
TenNtSetContextThread = *(ULONG*)uNtSetContextThreadAddress;
TenNtGetContextThread = *(ULONG*)uNtGetContextThreadAddress;
KdPrint(("Set地址:%0X\n",TenNtSetContextThread));
KdPrint(("Get地址:%0X\n",TenNtGetContextThread));
KdPrint(("Process:%0X \n",(ULONG)p_MyHookAddress));
KdPrint(("Thread:%0X \n",(ULONG)t_MyHookAddress));
WPOFF(); //清除CR0
//提升IRQL中斷級
Irql=KeRaiseIrqlToDpcLevel();
//完成SSDT HOOK
*(ULONG*)uNtGetContextThreadAddress = (ULONG)MyNtGetThreadContext;
*(ULONG*)uNtSetContextThreadAddress = (ULONG)MyNtSetThreadContext;
//恢復Irql
KeLowerIrql(Irql);
WPON(); //恢復CR0
return STATUS_UNSUCCESSFUL;
}
另外還有一些功能型的函數一併給出,省的大家迷糊
我也算服務到位了,再看上面代碼迷糊的時候。看這裡找找
看看有沒有能用到的,或者翻一下我以往的帖子。裡面應該有
代碼:
//保存5字節代碼的結構
#pragma pack(1)
typedef struct _TOP5CODE
{
UCHAR instruction; //指令
ULONG address; //地址
}TOP5CODE,*PTOP5CODE;
#pragma pack( )
//ssdt表結構
typedef struct _ServiceDescriptorTable {
PVOID ServiceTableBase; //System Service Dispatch Table 的基地址
PVOID ServiceCounterTable;
//包含著SSDT 中每個服務被調用次數的計數器。這個計數器一般由sysenter 更新。
unsigned int NumberOfServices;//由ServiceTableBase 描述的服務的數目。
PVOID ParamTableBase; //包含每個系統服務參數字節數表的基地址-系統服務參數表
}*PServiceDescriptorTable;
//由SSDT索引號獲取當前函數地址
//NtOpenProcess [[KeServiceDescriptorTable]+0x7A*4]
extern PServiceDescriptorTable KeServiceDescriptorTable;
////////////////////////////////////////////////// ////////////////////
// 名稱: MyGetFunAddress
// 功能: 獲取函數地址
// 參數: 函數名稱字符串指針
// 返回: 函數地址
////////////////////////////////////////////////// ////////////////////
ULONG MyGetFunAddress( IN PCWSTR FunctionName)
{
UNICODE_STRING UniCodeFunctionName;
RtlInitUnicodeString( &UniCodeFunctionName, FunctionName );
return (ULONG)MmGetSystemRoutineAddress( &UniCodeFunctionName );
}
////////////////////////////////////////////////// ////////////////////
// 名稱: myGetCurrentAddress
// 功能: 獲取SSDT表中指定函數的當前地址
// 參數: index:指定函數在表中的索引號
// 返回: 地址
////////////////////////////////////////////////// ////////////////////
ULONG myGetCurrentAddress(IN ULONG index)
{
ULONG SSDT_Cur_Addr;
__asm
{
push ebx
push eax
mov ebx,KeServiceDescriptorTable
mov ebx,[ebx]
mov eax,index
shl eax,2
add ebx,eax
mov ebx,[ebx]
mov SSDT_Cur_Addr,ebx
pop eax
pop ebx
}
return SSDT_Cur_Addr;
}
VOID WPOFF()
{
__asm
{
cli
mov eax,cr0
and eax,not 10000h
mov cr0,eax
}
}
VOID WPON()
{
__asm
{
mov eax,cr0
or eax,10000h
mov cr0,eax
sti
}
}
記在最後面的話:大家要善用搜索引擎(建議學習google hacking技巧),勤做筆記,最後要說的依然是感謝,感謝GOOGLE\BAIDU\PEDIY\DEBUGMAN。還有那些默默發帖的人~
如果有時間的話,我會將其他幾個遊戲保護的分析資料也放出來
什麼GPK\HP\HS的。大家不要催不要急,一定會放出來的。等到我覺得這些東西都沒有挑戰性的時候那麼也就不會再有資料陸續放出來了……
如果有好東西記得與我分享哈
没有评论:
发表评论