|
|
标 题: 【原创】散谈游戏保护那点事~就从_TP开始入手吧
作 者: crazyearl
时 间: 2010-12-20,02:37:22
转载链 接: http://bbs.pediy.com/showthread.php?t=126802
声明:本文只为研究技术,请所有童鞋切勿使用本文之方法做下那天理难容罪恶不舍之坏事。
既是研究游戏保护,那么总要有一个研究对象。本文就以TMD_TP这款游戏保护为例进行分析讲解。请勿对号入座,如有雷同之处。纯属反汇编引擎之错误,不关我的事!
关键字:DNF 驱动保护
鉴于最近很多同学找上门来求解这那问题,反正这东西又不是绝密档案,放在我手里大半个月了,还不如放出来让大家一起进步算了。另外都是取之看雪还之看雪罢了。
索性我也就公布一个全套的方案。绝无其他意思,所以还请同道中人嘴下留情。切勿背地使坏! ::::
在正式开篇之前我要感谢看雪ID:十年寒窗 在我最困惑的时候,他给予了最大的帮助!另外还有一位和我同岁的神秘人物也给予了不小的帮助,感谢你们。
废话了半天,正式开始吧。
tmd_TP也就是国内比较流行的游戏D_N*F的游戏保护。
它在ring0层一共HOOK了几个地方和一些其他的工作。来达到保护的目的
下面是简报:
复制代码- NtOpenThread //防止调试器在它体内创建线程
- NtOpenProcess //防止OD等在进程列表看到它
- KiAttachProcess //防止其他软件附加它
- NtReadVirtualMemory //防止别人读取它的内存
- NtWriteVirtualMemory //防止别人在它的内存里面乱写乱画
- KDCOM.dll:KdReceivePacket //这两个是COM串口的接受和发送数据
- KDCOM.dll:KdSendPacket //主要用来方式别人双机调试
使用了KdDisableDebugger来禁用双机调试
代码:
复制代码- .text:010025F0 jz short loc_1002622
- .text:010025F2 call sub_10022A4
- .text:010025F7 call ds:KdDisableDebugger
- .text:010025FD push offset byte_10022EC
- .text:01002602 push esi
- .text:01002603 push offset byte_10022DC
- .text:01002608 push edi
- .text:01002609 push dword_100CF24
并对debugport进行了疯狂的清零操作
甚至还包括EPROCESS+70\+74\+78等几处位置
处理的手段通常都是向64端口写入FE导致计算机被重启
代码:
复制代码- .text:01001665 mov al, 0FEh
- .text:01001667 out 64h, al ; AT Keyboard controller 8042.
- .text:01001667 ; Resend the last transmission
- .text:01001669 popa
- .text:0100166A retn
下面简单看下他关键的几个HOOK:
KiAttachProcess
NtReadVirtualMemory
NtWriteVirtualMemory
NtOpenThread
NtOpenProcess
引用:其中,前3个直接恢复即可。
第4个有监视,直接恢复即刻重启
第5个和ring3有通信,直接恢复1分钟内SX非法模块
根据上面的分析,下面给出相应的解决方案
1.直接恢复 第1、2、3处HOOK
2.绕过4、5处HOOK
3.将debugport清零的内核线程干掉
4.恢复硬件断点
但是要有一个先后的逻辑顺序
因为内核有一个线程负责监视几个地方,必须要先干掉它。
但是这个内容我写在了处理debugport清零的一起,也就是第3步。所以大家在照搬源码的时候
注意代码执行次序
先从简单的工作讲起,恢复1、2、3处的HOOK
KiAttachProcess的处理
代码:
复制代码- //////////////////////////////////////////////////////////////////////
- // 名称: Nakd_KiAttachProcess
- // 功能: My_RecoveryHook_KiAttachProcess的中继函数
- // 参数:
- // 返回:
- //////////////////////////////////////////////////////////////////////
- static NAKED VOID Nakd_KiAttachProcess()
- {
- __asm
- {
- mov edi,edi
- push ebp
- mov ebp,esp
- push ebx
- push esi
- mov eax,KiAttachProcessAddress //注意这个是全局变量 BYTE*
- add eax,7
- jmp eax
- }
- }
- //////////////////////////////////////////////////////////////////////
- // 名称: RecoveryHook_KiAttachProcess
- // 功能: 解除游戏保护对_KiAttachProcess函数的HOOK(DNF)
- // 参数:
- // 返回: 状态
- //////////////////////////////////////////////////////////////////////
- NTSTATUS My_RecoveryHook_KiAttachProcess()
- {
- BYTE *KeAttachProcessAddress = NULL; //KeAttachProcess函数地址
- BYTE *p;
- BYTE MovEaxAddress[5] = {0xB8,0,0,0,0}; //
- BYTE JmpEax[2] = {0xff,0xe0};
- KIRQL Irql;
- //特征码
- BYTE Signature1 = 0x56, //p-1
- Signature2 = 0x57, //p-2
- Signature3 = 0x5F, //p-3
- Signature4 = 0x5E, //p+5
- Signature5 = 0xE8; //p第一个字节
- //获得KeAttachProcess地址,然后通过特征码找到
- //KiAttachProcess的地址
- KeAttachProcessAddress = (BYTE*)MyGetFunAddress(L"KeAttachProcess");
- if (KeAttachProcessAddress == NULL)
- {
- KdPrint(("KeAttachProcess地址获取失败\n"));
- return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
- }
- //将p指向KeAttachProcess函数开始处
- p = KeAttachProcessAddress;
- while (1)
- {
- if ((*(p-1) == Signature1) &&
- (*(p-2) == Signature2) &&
- (*(p+5) == Signature3) &&
- (*(p+6) == Signature4) &&
- (*p == Signature5))
- {
- //定位成功后取地址
- KiAttachProcessAddress = *(PULONG)(p+1)+(ULONG)(p+5);
- break;
- }
- //推动指针
- p++;
- }
- //计算中继函数地址
- *(ULONG *)(MovEaxAddress+1)=(ULONG)Nakd_KiAttachProcess;
- WPOFF(); //清除CR0
- //提升IRQL中断级
- Irql=KeRaiseIrqlToDpcLevel();
- //写入
- RtlCopyMemory(KiAttachProcessAddress,MovEaxAddress,5);
- RtlCopyMemory(KiAttachProcessAddress+5,JmpEax,2);
- //恢复Irql
- KeLowerIrql(Irql);
- WPON(); //恢复CR0
- return STATUS_SUCCESS;
- }
NtReadVirtualMemory和
NtWriteVirtualMemory的处理
注意这里,我对他们俩开头的第2句PUSH的处理
我直接写入了push 0x78563412
大家可以根据自己的地址来硬编码一次。
或者干脆这样使用
代码:
复制代码- //////////////////////////////////////////////////////////////////////
- // 名称: My_RecoveryHook_NtReadAndWriteMemory
- // 功能: 解除游戏保护对NtReadVirtualMemory和
- // NtWriteVirtualMemory的HOOK
- // 参数:
- // 返回:
- //////////////////////////////////////////////////////////////////////
- NTSTATUS My_RecoveryHook_NtReadAndWriteMemory()
- {
- BYTE Push1Ch[2] = {0x6a,0x1c}; //0~2字节
- BYTE PushAdd[5] = {0x68,0x12,0x34,0x56,0x78}; //NtReadVirtualMemory[物理机]
- //BYTE PushAdd2[5] = {0x68,0xf0,0x6f,0x4f,0x80}; //NtWriteVirtualMemory[物理机]
- KIRQL Irql;
- BYTE *NtReadVirtualMemoryAddress = NULL; //NtReadVirtualMemory的地址
- BYTE *NtWriteVirtualMemoryAddress = NULL; //NtWriteVirtualMemory的地址
- //从SSDT表中获取NtReadVirtualMemory函数地址
- NtReadVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0xBA);
- if (NtReadVirtualMemoryAddress == NULL)
- {
- KdPrint(("NtReadVirtualMemory函数地址获取失败! \n"));
- return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
- }
- //从SSDT表中获取NtWriteVirtualMemory函数地址
- NtWriteVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0x115);
- if (NtWriteVirtualMemoryAddress == NULL)
- {
- KdPrint(("NtWriteVirtualMemory函数地址获取失败! \n"));
- return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
- }
- WPOFF(); //清除CR0
- //提升IRQL中断级
- Irql=KeRaiseIrqlToDpcLevel();
- //写入
- RtlCopyMemory(NtReadVirtualMemoryAddress,Push1Ch,2);
- RtlCopyMemory(NtReadVirtualMemoryAddress+2,PushAdd,5);
- RtlCopyMemory(NtWriteVirtualMemoryAddress,Push1Ch,2);
- RtlCopyMemory(NtWriteVirtualMemoryAddress+2,PushAdd,5);
- //恢复Irql
- KeLowerIrql(Irql);
- WPON(); //恢复CR0
- return STATUS_SUCCESS;
- }
好了,下面来处理
NtOpenProcess和
NtOpenThread
这两个函数的处理上不能太鲁莽了。
手法要风骚一点细腻一点了
介于篇幅的原因,我只贴出来前者的处理方法,后者雷同
细微之处大家自行修改。我总不能真的给你方法又给你工具。眼看着自己变成教唆犯
代码:
复制代码- //NtOpenProcess用到的全局变量[为了方便堆栈平衡的处理使用全局变量]
- PEPROCESS processEPROCESS = NULL; //保存访问者的EPROCESS
- ANSI_STRING p_str1,p_str2; //保存进程名称
- BYTE *ObOpenObjectByPointerAddress = NULL; //ObOpenObjectByPointer的地址
- BYTE *p_TpHookAddress = NULL; //TP的HOOK函数地址
- BYTE *p_ReturnAddress = NULL; //返回到的地址
- BYTE *p_MyHookAddress = NULL; //我们的HOOK函数在哪写入
- #define DNF_EXE "DNF.exe" //要检索的进程名
- //////////////////////////////////////////////////////////////////////
- // 名称: Nakd_NtOpenProcess
- // 功能: My_RecoveryHook_NtOpenProcess的中继函数
- // 参数:
- // 返回:
- //////////////////////////////////////////////////////////////////////
- static NAKED VOID Nakd_NtOpenProcess()
- {
- //获得调用者的EPROCESS
- processEPROCESS = IoGetCurrentProcess();
- //将调用者的进程名保存到str1中
- RtlInitAnsiString(&p_str1,(ULONG)processEPROCESS+0x174);
- //将我们要比对的进程名放入str2
- RtlInitAnsiString(&p_str2,DNF_EXE);
- if (RtlCompareString(&p_str1,&p_str2,TRUE) == 0)
- {
- //说明是DNF进程访问了这里
- __asm
- {
- push dword ptr [ebp-38h]
- push dword ptr [ebp-24h]
- push p_ReturnAddress
- mov eax,p_TpHookAddress
- jmp eax
- }
- }
- else
- {
- __asm
- {
- push dword ptr [ebp-38h]
- push dword ptr [ebp-24h]
- push p_ReturnAddress
- mov eax,ObOpenObjectByPointerAddress
- jmp eax
- }
- }
- }
- //////////////////////////////////////////////////////////////////////
- // 名称: My_RecoveryHook_NtOpenProcess
- // 功能: 解除游戏保护对NtOpenProcess的HOOK
- // 参数:
- // 返回: 状态
- //////////////////////////////////////////////////////////////////////
- NTSTATUS My_RecoveryHook_NtOpenProcess()
- {
- BYTE *NtOpenProcessAddress = NULL; //NtOpenProcess的地址
- BYTE *p = NULL; //临时
- TOP5CODE *top5code = NULL; //保存5字节内容
- BYTE JmpAddress[6] = {0xE9,0,0,0,0,0x90};
- KIRQL Irql;
- //获取NtOpenProcess的地址
- NtOpenProcessAddress = (BYTE*)MyGetFunAddress(L"NtOpenProcess");
- if (NtOpenProcessAddress == NULL)
- {
- KdPrint(("NtOpenProcess地址获取失败\n"));
- return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
- }
- //获取ObOpenObjectByPointer的地址
- ObOpenObjectByPointerAddress = (BYTE*)MyGetFunAddress(L"ObOpenObjectByPointer");
- if (ObOpenObjectByPointerAddress == NULL)
- {
- KdPrint(("ObOpenObjectByPointer地址获取失败\n"));
- return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
- }
- //将p指向NtOpenProcess函数开始处
- p = NtOpenProcessAddress;
- //用一个无限循环来判断给定的特征码来确定被HOOK位置
- while (1)
- {
- if ((*(p-7) == 0x50) &&
- (*(p-0xE) == 0x56) &&
- (*(p+0xd) == 0x50) &&
- (*(p+0x16) == 0x3b) &&
- (*(p+0x17) == 0xce) &&
- (*p == 0xE8) &&
- (*(p+5) == 0x8b) &&
- (*(p+6) == 0xf8))
- {
- KdPrint(("%0X \n",(ULONG)p));
- break;
- }
- //推动指针向前走
- p++;
- }
- //将top5code指向 p 的当前处
- //用以取出 call [地址] 这5字节里面的地址
- top5code = (TOP5CODE*)p;
- p_TpHookAddress = (BYTE*)((ULONG)p+5+top5code->address);
- //找到我们写入自定义函数的地址
- p_MyHookAddress = p-6;
- //保存调用ObOpenObjectByPointer函数以后的返回地址
- p_ReturnAddress = p+5;
- //将一条JMP Nakd_NtOpenProcess写入到数组中
- *(ULONG *)(JmpAddress+1)=(ULONG)Nakd_NtOpenProcess - ((ULONG)p_MyHookAddress+5);
- WPOFF(); //清除CR0
- //提升IRQL中断级
- Irql=KeRaiseIrqlToDpcLevel();
- //写入
- RtlCopyMemory(p_MyHookAddress,JmpAddress,6);
- //恢复Irql
- KeLowerIrql(Irql);
- WPON(); //恢复CR0
- return STATUS_SUCCESS;
- }
处理之后:
简而言之其原理就是,任何人调用了NtOpenProcess的时候会先进入
Nakd_NtOpenProcess函数,我们判断。如果是游戏进程访问的话,就有可能是验证之类的
我们转到它自己的函数里面。让它保持与ring3层的通信。否则的话,嘿嘿……
接下来是第3步处理debugport清零的这块了。
我想绝大多数人关心的都是这里了
网络上能搜多到的办法几乎都失效了
有办法的人又不肯放出来,急眼了就自己想了个土办法
虽然不那么时尚。但是绝对的奏效。
由于代码凌乱不堪,简单说下其原理。
我们定位内核模块TxxxSxxx.sys的首地址
然后根据特征码遍历整个模块找到我们需要的地方,然后干掉他们。
那么我们又如何能够通过人工的判断出来到底是哪里在作怪呢
利用syser或Start SoftICE对EPROCESS+BC处设置断点。就可以一层一层的追溯上去了
到底如何用他们,我想大家自己多花点时间在看雪和GOOGLE或者BAIDU上面是不会吃亏的。
由于ZwQuerySystemInformation函数的使用非常繁琐。而且篇幅有限。所以我只给出关键代码,至于这个函数如何使用。大家可以自己在搜索引擎找“枚举内核模块”
代码:
复制代码- //////////////////////////////////////////////////////////////////////
- // 名称: MyEnumKernelModule
- // 功能: 枚举内核模块
- // 参数: str:内核模块名称
- // moduleadd:该模块地址[传出]
- // modulesie:该模块大小[传出]
- // 返回:
- //////////////////////////////////////////////////////////////////////
- NTSTATUS MyEnumKernelModule(IN CHAR* str,OUT ULONG *moduleadd,OUT ULONG *modulesie)
- {
- NTSTATUS status = STATUS_SUCCESS;
- ULONG n = 0;
- ULONG i = 0;
- PSYSTEM_MODULE_INFORMATION_ENTRY module = NULL;
- PVOID pbuftmp = NULL;
- ANSI_STRING ModuleName1,ModuleName2;
- BOOLEAN tlgstst= FALSE; //如果找到了指定模块则设置为TRUE
- //利用11号功能枚举内核模块
- status = ZwQuerySystemInformation(11, &n, 0, &n);
- //申请内存
- pbuftmp = ExAllocatePool(NonPagedPool, n);
- //再次执行,将枚举结果放到指定的内存区域
- status = ZwQuerySystemInformation(11, pbuftmp, n, NULL);
- module = (PSYSTEM_MODULE_INFORMATION_ENTRY)((PULONG )pbuftmp + 1 );
- //初始化字符串
- RtlInitAnsiString(&ModuleName1,str);
- //
- n = *((PULONG)pbuftmp );
- for ( i = 0; i < n; i++ )
- {
- RtlInitAnsiString(&ModuleName2,&module.ImageName);
- //DbgPrint("%d\t0x%08X 0x%08X %s\n",module.LoadOrderIndex,module.Base,module.Size,module.ImageName);
- if (RtlCompareString(&ModuleName1,&ModuleName2,TRUE) == 0)
- {
- DbgPrint("MyEnumKernelModule:%s:%0X \n",ModuleName2.Buffer,module.Base);
- *moduleadd = module.Base;
- *modulesie = module.Size;
- tlgstst = TRUE;
- break;
- }
- }
- ExFreePool(pbuftmp);
- if tlgstst == FALSE)
- {
- return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
- }
- return status;
- }
- //////////////////////////////////////////////////////////////////////
- // 名称: My_Recovery_Debugport
- // 功能: 恢复游戏对debugport的清零操作
- // 参数:
- // 返回:
- //////////////////////////////////////////////////////////////////////
- NTSTATUS My_Recovery_Debugport()
- {
- NTSTATUS stats;
- BYTE *sd1 = NULL,*sd2 = NULL,*pd = NULL;
- ULONG ModuleSize,ModuleAddress,i,number = 0;
- BYTE *p;
- KIRQL Irql;
- BYTE C390[2] = {0xc3,0x90};
- //获取指定的内核模块地址和字节数
- stats = MyEnumKernelModule("\\??\\c:\\windows\\system32\\tessafe.sys",&ModuleAddress,&ModuleSize);
- if (stats == FAILED_TO_OBTAIN_FUNCTION_ADDRESSES)
- {
- return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
- }
- KdPrint(("Address:%0X Sie:%d \n",ModuleAddress,ModuleSize));
- //特征码
- /* sd1特征
- p-1:18 p-2:87 p-3
 B p-4:33 p-5:07
- p-6:03 p :33 p+1:C0 p+7:3B p+88
- sd2特征
- p-1:07 p-2:87 p-3:c0 p-4:33 p+14:89
- p+15:1c p+16:38
- */
- //将P指向内核模块开始处
- p = (BYTE*)ModuleAddress + 20;
- for (i = 0; i < ModuleSize - 20; i++,p++)
- {
- //sd1
- if ((*(p-1) == 0x18) &&
- (*(p-2) == 0x87) &&
- (*(p-3) == 0xDB) &&
- (*(p-4) == 0x33) &&
- (*(p-5) == 0x07) &&
- (*(p-6) == 0x03) &&
- (*p == 0x33) &&
- (*(p+1) == 0xC0) &&
- (*(p+7) == 0x3B) &&
- (*(p+8) == 0xD8) )
- {
- KdPrint(("--SD1 -- %0X \n",(ULONG)p));
- sd1 = p;
- number+=1; //记录已经获取一个特征
- }
- //sd2
- if ((*(p-1) == 0x07) &&
- (*(p-2) == 0x87) &&
- (*(p-3) == 0xC0) &&
- (*(p-4) == 0x33) &&
- (*(p+14)== 0x89) &&
- (*(p+15)== 0x1C) &&
- (*(p+16)== 0x38) &&
- (*p == 0xA1))
- {
- KdPrint(("--SD2 -- %0X \n",(ULONG)p));
- sd2 = p;
- number+=1; //记录已经获取一个特征
- }
- //pd
- if ((*(p-2) == 0xE3) &&
- (*(p-3) == 0xC1) &&
- (*(p-7) == 0xF3) &&
- (*(p-8) == 0x33) &&
- (*(p-10)== 0xEB) &&
- (*(p-11)== 0xC1) &&
- (*(p+1) == 0xF3) &&
- (*(p+2) == 0x42) &&
- (*(p+3) == 0x3B) &&
- (*(p+4) == 0xD1) &&
- (*p == 0x33))
- {
- KdPrint(("--PD -- %0X \n",(ULONG)p));
- pd = p;
- number+=1; //记录已经获取一个特征
- }
- if (number >= 3)
- {
- KdPrint(("特征 %d ---退出\n",number));
- break;
- }
- }
- //首先干掉监视函数
- while (1)
- {
- if ((*(pd-1) == 0xcc) && (*(pd-2) == 0xcc))
- {
- KdPrint(("pd首地址:%0X \n",(ULONG)pd));
- WPOFF(); //清除CR0
- //提升IRQL中断级
- Irql=KeRaiseIrqlToDpcLevel();
- //写入
- RtlCopyMemory(pd,C390,2);
- //恢复Irql
- KeLowerIrql(Irql);
- WPON(); //恢复CR0
- break;
- }
- pd--;
- }
- //干掉2个SD
- while (1)
- {
- if ((*(sd1-1) == 0xcc) && (*(sd1-2) == 0xcc))
- {
- KdPrint(("sd1首地址:%0X \n",(ULONG)sd1));
- WPOFF(); //清除CR0
- //提升IRQL中断级
- Irql=KeRaiseIrqlToDpcLevel();
- //写入
- RtlCopyMemory(sd1,C390,2);
- //恢复Irql
- KeLowerIrql(Irql);
- WPON(); //恢复CR0
- break;
- }
- sd1--;
- }
- while (1)
- {
- if ((*(sd2-1) == 0xcc) && (*(sd2-2) == 0xcc))
- {
- KdPrint(("sd2首地址:%0X \n",(ULONG)sd2));
- WPOFF(); //清除CR0
- //提升IRQL中断级
- Irql=KeRaiseIrqlToDpcLevel();
- //写入
- RtlCopyMemory(sd2,C390,2);
- //恢复Irql
- KeLowerIrql(Irql);
- WPON(); //恢复CR0
- break;
- }
- sd2--;
- }
- return STATUS_SUCCESS;
- }
|
|
|
|
发表于 2013-10-11 16:28:42
rocess:%0X \n",(ULONG)p_MyHookAddress));
发表于 2013-10-11 21:18:46