鑫郁飞

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 719|回复: 7

腾讯系列游戏驱动保护研究

[复制链接]

版主

Rank: 7Rank: 7Rank: 7

阅读权限
100
积分
2109
精华
0
主题
19
帖子
19
分享
0
日志
0
在线时间
0 小时
最后登录
2017-3-30
注册时间
2017-3-29
听众
0
收听
0
发表于 2017-3-30 20:08:55 | 显示全部楼层 |阅读模式
最近时间有些多,一时对网络游戏的保护机制感兴趣了,来研究了一下,听说QQ系列的TesSafe.sys 有些强,于是拿来看看驱动都做了些什
么.以下是对DNF和QQffo(自由幻想)研究结果(xp sp2)
在网上找了些TesSafe的资料,说TesSafe并不怎么样
现在这个版本保护的结果为:任务管理器中可以看到游戏进程,但OD和CE看不见,更不用说什么调试了,iceword可以 看到EPROCSS,但WSysCheck看
不见,自己写程序,也不能注入受保护的游戏进程.
可见,NtOpenProcess被Hook了,恢复SSDT后,没有任何效果,可见是inline hook ,
用一般的软件检测一下,没有发现inline hook,看来hook得比较深,在网上一找资料才发现,原来的确够隐藏的
以下是上一个TesSafe版本的分析结果
游客,如果您要查看本帖隐藏内容请回复
被HOOK后的代码变成了
call a8724af4(TesSafe自己搞出来的函数)
lkd> u a8724af4 a8724af4+110
a8724af4 8b450c          mov     eax,dword ptr [ebp+0Ch]
a8724af7 55              push    ebp
a8724af8 8bec            mov     ebp,esp
a8724afa 81ec00010000    sub     esp,100h
...
往下找,
a8724bc6 ff25409372a8    jmp     dword ptr ds:[0A8729340h] ;ObOpenObjectByPointer
可以找到跳到ObOpenObjectByPointer的代码
我先偿试着直接用WinDbg把80581ce3 call a8724af4后面的值给修改回来,可是一修改回来就蓝屏,不知道什么原因,搞不清楚.
于是没办法,我用另一种方法,直接在HOOK函数的入口点a8724af4修改为jmp ObOpenObjectByPointer,这样就成功恢复了,没有蓝屏
用这种方法把以上三个函数全恢复了
2.
NtWriteVirtualMemory
NtReadVirtualMemory
这两个函数被TesSafe把头几个字节HOOK了
lkd> u 805878d0 805878d0+180 ;NtWriteVirtualMemory
805878d0 b89e9707a9      mov     eax,0A907979Eh
805878d5 ffe0            jmp     eax
805878d7 e8a7c5f5ff      call    nt!CIsqrt+0x2d7 (804e3e83)
805878dc 64a124010000    mov     eax,dword ptr fs:[00000124h]
上面这是NtWriteVirtualMemory的代码,头几个字节被修改了,直接恢复之就OK了,
上面inline hook的函数一共六个,我只恢复了五个,另一个函数不知道是什么,没弄出来
3.
在驱动中TesSafe还用了以下三个函数
PsSetCreateProcessNotifyRoutine
PsSetCreateThreadNotifyRoutine
PsSetLoadImageNotifyRoutine
可见,他设置了进程,线程创建和加载模块的回调函数,这几个函数设置的回调函数,不容易去除,我只能把
PspCreateProcessNotifyRoutine,PspCreateThreadNotifyRoutine,PspLoadImageNotifyRoutine 表全部清空,

分析结果:
经过我以上的处理,ce可以对进程进程读写操作,但不能附加调试,会失败,
游客,如果您要查看本帖隐藏内容请回复
}
回复

使用道具 举报

高中生

Rank: 5Rank: 5

阅读权限
0
积分
1051
精华
0
主题
0
帖子
17
分享
0
日志
0
在线时间
5 小时
最后登录
2017-5-21
注册时间
2016-12-12
听众
1
收听
0
发表于 2017-5-16 20:43:30 | 显示全部楼层
来看看哪看哪
回复 支持 反对

使用道具 举报

学前班

Rank: 2

阅读权限
0
积分
11
精华
0
主题
0
帖子
5
分享
0
日志
0
在线时间
0 小时
最后登录
2017-9-29
注册时间
2017-9-29
听众
0
收听
0
发表于 2017-9-29 17:03:28 | 显示全部楼层
如果您要查看本帖隐藏内容请回复
回复 支持 反对

使用道具 举报

学前班

Rank: 2

阅读权限
0
积分
12
精华
0
主题
0
帖子
6
分享
0
日志
0
在线时间
0 小时
最后登录
2017-10-1
注册时间
2017-10-1
听众
0
收听
0
发表于 2017-10-1 14:29:26 | 显示全部楼层
哈喽啊
回复

使用道具 举报

学前班

Rank: 2

阅读权限
0
积分
13
精华
0
主题
0
帖子
7
分享
0
日志
0
在线时间
0 小时
最后登录
2017-11-1
注册时间
2017-11-1
听众
0
收听
0
发表于 2017-11-1 10:05:41 | 显示全部楼层
感谢分享。。。。。。。。。。。。。
回复

使用道具 举报

学前班

Rank: 2

阅读权限
0
积分
11
精华
0
主题
0
帖子
5
分享
0
日志
0
在线时间
0 小时
最后登录
2017-11-17
注册时间
2017-11-17
听众
0
收听
0
发表于 2017-11-17 11:18:59 | 显示全部楼层
是64位吗,驱动签名怎么搞
回复 支持 反对

使用道具 举报

学前班

Rank: 2

阅读权限
0
积分
15
精华
0
主题
0
帖子
9
分享
0
日志
0
在线时间
0 小时
最后登录
2018-1-15
注册时间
2018-1-15
听众
0
收听
0
发表于 2018-1-15 16:39:47 | 显示全部楼层
只想看一看只想看一看只想看一看只想看一看只想看一看只想看一看只想看一看只想看一看只想看一看只想看一看只想看一看只想看一看只想看一看
回复 支持 反对

使用道具 举报

学前班

Rank: 2

阅读权限
0
积分
11
精华
0
主题
0
帖子
5
分享
0
日志
0
在线时间
0 小时
最后登录
2018-1-17
注册时间
2018-1-17
听众
0
收听
0
发表于 2018-1-17 23:54:48 | 显示全部楼层
学习啊   版主很牛
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|鑫郁飞网络科技有限公司 ( 渝ICP备16011958号-1 )

GMT+8, 2018-6-19 22:12 , Processed in 0.071220 second(s), 20 queries .

Powered by Discuz! X3.4 Licensed

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表