1、过 TP 保护分析过程【转帖】本文只为研究技术,请所有童鞋切勿使用本文之方法做下那天理难容罪恶不舍之坏事。既是研究游戏保护,那么总要有一个研究对象。本文就以 TMD_TP 这款游戏保护为例进行分析讲解。请勿对号入座,如有雷同之处。纯属反汇编引擎之错误,不关我的事!转载请注明出处 关键字:DNF 驱动保护鉴于最近很多同学找上门来求解这那问题,反正这东西又不是绝密档案,放在我手里大半个月了,还不如放出来让大家一起进步算了。另外都是取之看雪还之看雪罢了。索性我也就公布一个全套的方案。绝无其他意思,所以还请同道中人嘴下留情。切勿背地使坏!在正式开篇之前我要感谢看雪 ID:十年寒窗 在我最困惑的时候,他
2、给予了最大的帮助!另外还有一位和我同岁的神秘人物也给予了不小的帮助,感谢你们。废话了半天,正式开始吧。tmd_TP 也就是国内比较流行的游戏 D_N*F 的游戏保护。它在 ring0 层一共 HOOK 了几个地方和一些其他的工作。来达到保护的目的下面是简报:url=javascript:复制代码/url1. NtOpenThread /防止调试器在它体内创建线程 NtOpenProcess /防止 OD 等在进程列表看到它 KiAttachProcess /防止其他软件附加它 NtReadVirtualMemory /防止别人读取它的内存 NtWriteVirtualMemory /防止别人在
3、它的内存里面乱写乱画 KDCOM.dll:KdReceivePacket /这两个是 COM 串口的接受和发送数据 KDCOM.dll:KdSendPacket /主要用来方式别人双机调试使用了 KdDisableDebugger 来禁用双机调试代码: url=javascript:复制代码 /url1. .text:010025F0 jz short loc_1002622 .text:010025F2 call sub_10022A4 .text:010025F7 call ds:KdDisableDebugger .text:010025FD push offset byte_10022
4、EC .text:01002602 push esi .text:01002603 push offset byte_10022DC .text:01002608 push edi .text:01002609 push dword_100CF24并对 debugport 进行了疯狂的清零操作甚至还包括 EPROCESS+70+74+78 等几处位置图片:1.jpg处理的手段通常都是向 64 端口写入 FE 导致计算机被重启代码: url=javascript:复制代码 /url1. .text:01001665 mov al, 0FEh .text:01001667 out 64h, al
5、; AT Keyboard controller 8042. .text:01001667 ; Resend the last transmission .text:01001669 popa .text:0100166A retn下面简单看下他关键的几个 HOOK:KiAttachProcess 图片:2.jpgNtReadVirtualMemory 图片:3.jpgNtWriteVirtualMemory 图片:4.jpgNtOpenThread图片:5.jpgNtOpenProcess 图片:6.jpg引用:其中,前 3 个直接恢复即可。第 4 个有监视,直接恢复即刻重启第 5 个和 r
6、ing3 有通信,直接恢复 1 分钟内 SX 非法模块 根据上面的分析,下面给出相应的解决方案1.直接恢复 第 1、2、3 处 HOOK2.绕过 4、5 处 HOOK3.将 debugport 清零的内核线程干掉4.恢复硬件断点但是要有一个先后的逻辑顺序因为内核有一个线程负责监视几个地方,必须要先干掉它。但是这个内容我写在了处理 debugport 清零的一起,也就是第 3 步。所以大家在照搬源码的时候注意代码执行次序先从简单的工作讲起,恢复 1、2、3 处的 HOOKKiAttachProcess 的处理代码: url=javascript:复制代码 /url1. / / 名称: Nakd_
7、KiAttachProcess / 功能: My_RecoveryHook_KiAttachProcess 的中继函数 / 参数: / 返回: / static NAKED VOID Nakd_KiAttachProcess() _asm mov edi,edi push ebp mov ebp,esp push ebx push esi mov eax,KiAttachProcessAddress /注意这个是全局变量 BYTE* add eax,7 jmp eax / / 名称: RecoveryHook_KiAttachProcess / 功能: 解除游戏保护对_KiAttachProc
8、ess 函数的 HOOK(DNF) / 参数: / 返回: 状态 / NTSTATUS My_RecoveryHook_KiAttachProcess() BYTE *KeAttachProcessAddress = NULL; /KeAttachProcess 函数地址 BYTE *p; BYTE MovEaxAddress5 = 0xB8,0,0,0,0; / BYTE JmpEax2 = 0xff,0xe0; KIRQL Irql; /特征码 BYTE Signature1 = 0x56, /p-1 Signature2 = 0x57, /p-2 Signature3 = 0x5F, /
9、p-3 Signature4 = 0x5E, /p+5 Signature5 = 0xE8; /p 第一个字节 /获得 KeAttachProcess 地址,然后通过特征码找到 /KiAttachProcess 的地址 KeAttachProcessAddress = (BYTE*)MyGetFunAddress(L“KeAttachProcess“); if (KeAttachProcessAddress = NULL) KdPrint(“KeAttachProcess 地址获取失败n“); return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES; /将 p 指
10、向 KeAttachProcess 函数开始处 p = KeAttachProcessAddress; while (1) if (*(p-1) = Signature1) break; /推动指针 p+; /计算中继函数地址 *(ULONG *)(MovEaxAddress+1)=(ULONG)Nakd_KiAttachProcess; WPOFF(); /清除 CR0 /提升 IRQL 中断级 Irql=KeRaiseIrqlToDpcLevel(); /写入 RtlCopyMemory(KiAttachProcessAddress,MovEaxAddress,5); RtlCopyMem
11、ory(KiAttachProcessAddress+5,JmpEax,2); /恢复 Irql KeLowerIrql(Irql); WPON(); /恢复 CR0 return STATUS_SUCCESS; NtReadVirtualMemory 和NtWriteVirtualMemory 的处理注意这里,我对他们俩开头的第 2 句 PUSH 的处理我直接写入了 push 0x78563412大家可以根据自己的地址来硬编码一次。或者干脆这样使用代码: url=javascript:复制代码 /url1. / / 名称: My_RecoveryHook_NtReadAndWriteMemo
12、ry / 功能: 解除游戏保护对 NtReadVirtualMemory 和 / NtWriteVirtualMemory 的 HOOK / 参数: / 返回: / NTSTATUS My_RecoveryHook_NtReadAndWriteMemory() BYTE Push1Ch2 = 0x6a,0x1c; /02 字节 BYTE PushAdd5 = 0x68,0x12,0x34,0x56,0x78; /NtReadVirtualMemory物理机 /BYTE PushAdd25 = 0x68,0xf0,0x6f,0x4f,0x80; /NtWriteVirtualMemory物理机
13、KIRQL Irql; BYTE *NtReadVirtualMemoryAddress = NULL; /NtReadVirtualMemory 的地址 BYTE *NtWriteVirtualMemoryAddress = NULL; /NtWriteVirtualMemory 的地址 /从 SSDT 表中获取 NtReadVirtualMemory 函数地址 NtReadVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0xBA); if (NtReadVirtualMemoryAddress = NULL) KdPrint(“NtRea
14、dVirtualMemory 函数地址获取失败! n“); return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES; /从 SSDT 表中获取 NtWriteVirtualMemory 函数地址 NtWriteVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0x115); if (NtWriteVirtualMemoryAddress = NULL) KdPrint(“NtWriteVirtualMemory 函数地址获取失败! n“); return FAILED_TO_OBTAIN_FUNCTION_ADDR
15、ESSES; WPOFF(); /清除 CR0 /提升 IRQL 中断级 Irql=KeRaiseIrqlToDpcLevel(); /写入 RtlCopyMemory(NtReadVirtualMemoryAddress,Push1Ch,2); RtlCopyMemory(NtReadVirtualMemoryAddress+2,PushAdd,5); RtlCopyMemory(NtWriteVirtualMemoryAddress,Push1Ch,2); RtlCopyMemory(NtWriteVirtualMemoryAddress+2,PushAdd,5); /恢复 Irql Ke
16、LowerIrql(Irql); WPON(); /恢复 CR0 return STATUS_SUCCESS; 好了,下面来处理NtOpenProcess 和NtOpenThread这两个函数的处理上不能太鲁莽了。手法要风骚一点细腻一点了介于篇幅的原因,我只贴出来前者的处理方法,后者雷同细微之处大家自行修改。我总不能真的给你方法又给你工具。眼看着自己变成教唆犯代码: url=javascript:复制代码 /url1. /NtOpenProcess 用到的全局变量 为了方便堆栈平衡的处理使用全局变量 PEPROCESS processEPROCESS = NULL; /保存访问者的 EPROC
17、ESS ANSI_STRING p_str1,p_str2; /保存进程名称 BYTE *ObOpenObjectByPointerAddress = NULL; /ObOpenObjectByPointer 的地址 BYTE *p_TpHookAddress = NULL; /TP 的 HOOK 函数地址 BYTE *p_ReturnAddress = NULL; /返回到的地址 BYTE *p_MyHookAddress = NULL; /我们的 HOOK 函数在哪写入 #define DNF_EXE “DNF.exe“ /要检索的进程名 / / 名称: Nakd_NtOpenProces
18、s / 功能: My_RecoveryHook_NtOpenProcess 的中继函数 / 参数: / 返回: / static NAKED VOID Nakd_NtOpenProcess() /获得调用者的 EPROCESS processEPROCESS = IoGetCurrentProcess(); /将调用者的进程名保存到 str1 中 RtlInitAnsiString( /将我们要比对的进程名放入 str2 RtlInitAnsiString( if (RtlCompareString( /NtOpenProcess 的地址 BYTE *p = NULL; /临时 TOP5COD
19、E *top5code = NULL; /保存 5 字节内容 BYTE JmpAddress6 = 0xE9,0,0,0,0,0x90; KIRQL Irql; /获取 NtOpenProcess 的地址 NtOpenProcessAddress = (BYTE*)MyGetFunAddress(L“NtOpenProcess“); if (NtOpenProcessAddress = NULL) KdPrint(“NtOpenProcess 地址获取失败n“); return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES; /获取 ObOpenObjectByPoi
20、nter 的地址 ObOpenObjectByPointerAddress = (BYTE*)MyGetFunAddress(L“ObOpenObjectByPointer“); if (ObOpenObjectByPointerAddress = NULL) KdPrint(“ObOpenObjectByPointer 地址获取失败n“); return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES; /将 p 指向 NtOpenProcess 函数开始处 p = NtOpenProcessAddress; /用一个无限循环来判断给定的特征码来确定被 HOOK 位置
21、 while (1) if (*(p-7) = 0x50) break; /推动指针向前走 p+; /将 top5code 指向 p 的当前处 /用以取出 call 地址 这 5 字节里面的地址 top5code = (TOP5CODE*)p; p_TpHookAddress = (BYTE*)(ULONG)p+5+top5code-address); /找到我们写入自定义函数的地址 p_MyHookAddress = p-6; /保存调用 ObOpenObjectByPointer 函数以后的返回地址 p_ReturnAddress = p+5; /将一条 JMP Nakd_NtOpenPr
22、ocess 写入到数组中 *(ULONG *)(JmpAddress+1)=(ULONG)Nakd_NtOpenProcess - (ULONG)p_MyHookAddress+5); WPOFF(); /清除 CR0 /提升 IRQL 中断级 Irql=KeRaiseIrqlToDpcLevel(); /写入 RtlCopyMemory(p_MyHookAddress,JmpAddress,6); /恢复 Irql KeLowerIrql(Irql); WPON(); /恢复 CR0 return STATUS_SUCCESS; 处理之后:图片:7.jpg简而言之其原理就是,任何人调用了 N
23、tOpenProcess 的时候会先进入Nakd_NtOpenProcess 函数,我们判断。如果是游戏进程访问的话,就有可能是验证之类的我们转到它自己的函数里面。让它保持与 ring3 层的通信。否则的话,嘿嘿 接下来是第 3 步处理 debugport 清零的这块了。我想绝大多数人关心的都是这里了网络上能搜多到的办法几乎都失效了有办法的人又不肯放出来,急眼了就自己想了个土办法虽然不那么时尚。但是绝对的奏效。由于代码凌乱不堪,简单说下其原理。我们定位内核模块 TxxxSxxx.sys 的首地址然后根据特征码遍历整个模块找到我们需要的地方,然后干掉他们。那么我们又如何能够通过人工的判断出来到底
24、是哪里在作怪呢利用 syser 或 Start SoftICE 对 EPROCESS+BC 处设置断点。就可以一层一层的追溯上去了到底如何用他们,我想大家自己多花点时间在看雪和 GOOGLE 或者 BAIDU 上面是不会吃亏的。由于 ZwQuerySystemInformation 函数的使用非常繁琐。而且篇幅有限。所以我只给出关键代码,至于这个函数如何使用。大家可以自己在搜索引擎找“枚举内核模块 ”代码: url=javascript:复制代码 /url1. / / 名称: MyEnumKernelModule / 功能: 枚举内核模块 / 参数: str:内核模块名称 / modulead
25、d:该模块地址 传出 / modulesie:该模块大小传出 / 返回: / NTSTATUS MyEnumKernelModule(IN CHAR* str,OUT ULONG *moduleadd,OUT ULONG *modulesie) NTSTATUS status = STATUS_SUCCESS; ULONG n = 0; ULONG i = 0; PSYSTEM_MODULE_INFORMATION_ENTRY module = NULL; PVOID pbuftmp = NULL; ANSI_STRING ModuleName1,ModuleName2; BOOLEAN tl
26、gstst= FALSE; /如果找到了指定模块则设置为 TRUE /利用 11 号功能枚举内核模块 status = ZwQuerySystemInformation(11, /申请内存 pbuftmp = ExAllocatePool(NonPagedPool, n); /再次执行,将枚举结果放到指定的内存区域 status = ZwQuerySystemInformation(11, pbuftmp, n, NULL); module = (PSYSTEM_MODULE_INFORMATION_ENTRY)(PULONG )pbuftmp + 1 ); /初始化字符串 RtlInitAn
27、siString( / n = *(PULONG)pbuftmp ); for ( i = 0; i = 3) KdPrint(“特征 %d -退出 n“,number); break; /首先干掉监视函数 while (1) if (*(pd-1) = 0xcc) WPOFF(); /清除 CR0 /提升 IRQL 中断级 Irql=KeRaiseIrqlToDpcLevel(); /写入 RtlCopyMemory(pd,C390,2); /恢复 Irql KeLowerIrql(Irql); WPON(); /恢复 CR0 break; pd-; /干掉 2 个 SD while (1)
28、 if (*(sd1-1) = 0xcc) WPOFF(); /清除 CR0 /提升 IRQL 中断级 Irql=KeRaiseIrqlToDpcLevel(); /写入 RtlCopyMemory(sd1,C390,2); /恢复 Irql KeLowerIrql(Irql); WPON(); /恢复 CR0 break; sd1-; while (1) if (*(sd2-1) = 0xcc) WPOFF(); /清除 CR0 /提升 IRQL 中断级 Irql=KeRaiseIrqlToDpcLevel(); /写入 RtlCopyMemory(sd2,C390,2); /恢复 Irql
29、 KeLowerIrql(Irql); WPON(); /恢复 CR0 break; sd2-; return STATUS_SUCCESS; 图片:8.jpg最后,处理一下硬件断点就可以了这里我们使用到了 SSDT HOOK分别 HOOK 了 SSDT 表中索引为 0xD5 和 0x55 的函数。由于这里比较简单我想 10 个人有 9 个人懂得 SSDT HOOK 的。所以直接给出源码,不做原理分析了代码: url=javascript:复制代码/url1. /处理硬件断点时 ULONG uNtSetContextThreadAddress; ULONG uNtGetContextThrea
30、dAddress; ULONG TenNtSetContextThread, TenNtGetContextThread; / / 名称: _MyNtGetThreadContext / 功能: 两个 SSDT HOOK 伪造函数的中继函数 / 参数: / 返回: / static NAKED NTSTATUS Nakd_NtGetThreadContext(HANDLE hThread, PCONTEXT pContext) _asm jmp dword ptrTenNtGetContextThread static NAKED NTSTATUS Nakd_NtSetThreadContex
31、t(HANDLE hThread, PCONTEXT pContext) _asm jmp dword ptrTenNtSetContextThread / / 名称: MyNtGetThreadContext return STATUS_UNSUCCESSFUL; NTSTATUS MyNtSetThreadContext(HANDLE hThread, PCONTEXT pContext) if ( _stricmp(const char*)PsGetProcessImageFileName(PsGetCurrentProcess(),DNF_EXE) ) return Nakd_NtSe
32、tThreadContext(hThread, pContext); /DbgPrint(“Dr7:%08Xn“, pContext-Dr7); if ( pContext-Dr7 = 0x101 ) return Nakd_NtSetThreadContext(hThread, pContext); return STATUS_UNSUCCESSFUL; / / 名称: My_Recovery_HardwareBreakpoint / 功能: 通过对 set 与 get 进行 SSDT HOOK 来恢复硬件断点/ 参数: /返回: /NTSTATUS My_Recovery_Hardware
33、Breakpoint() KIRQL Irql; /获取地址 uNtSetContextThreadAddress = (ULONG)KeServiceDescriptorTable-ServiceTableBase+0xD5 * 4;uNtGetContextThreadAddress = (ULONG)KeServiceDescriptorTable-ServiceTableBase+0x55 * 4; TenNtSetContextThread = *(ULONG*)uNtSetContextThreadAddress;TenNtGetContextThread = *(ULONG*)u
34、NtGetContextThreadAddress; KdPrint(“Set 地址:%0Xn“,TenNtSetContextThread); KdPrint(“Get 地址:%0Xn“,TenNtGetContextThread); KdPrint(“Process:%0X n“,(ULONG)p_MyHookAddress);KdPrint(“Thread:%0X n“,(ULONG)t_MyHookAddress); WPOFF(); /清除 CR0 /提升 IRQL 中断级 Irql=KeRaiseIrqlToDpcLevel(); /完成 SSDT HOOK *(ULONG*)uN
35、tGetContextThreadAddress = (ULONG)MyNtGetThreadContext; *(ULONG*)uNtSetContextThreadAddress = (ULONG)MyNtSetThreadContext;/恢复 Irql KeLowerIrql(Irql); WPON(); /恢复 CR0 return STATUS_UNSUCCESSFUL; 另外还有一些功能型的函数一并给出,省的大家迷糊我也算服务到位了,再看上面代码迷糊的时候。看这里找找看看有没有能用到的,或者翻一下我以往的帖子。里面应该有代码: url=javascript:复制代码/url1.
36、/保存 5 字节代码的结构 #pragma pack(1) typedef struct _TOP5CODE UCHAR instruction; /指令 ULONG address; /地址 TOP5CODE,*PTOP5CODE; #pragma pack( ) /ssdt 表结构 typedef struct _ServiceDescriptorTable PVOID ServiceTableBase; /System Service Dispatch Table 的基地址 PVOID ServiceCounterTable; /包含着 SSDT 中每个服务被调用次数的计数器。这个计数器
37、一般由 sysenter 更新。 unsigned int NumberOfServices;/由 ServiceTableBase 描述的服务的数目。 PVOID ParamTableBase; /包含每个系统服务参数字节数表的基地址-系统服务参数表 *PServiceDescriptorTable; /由 SSDT 索引号获取当前函数地址 /NtOpenProcess KeServiceDescriptorTable+0x7A*4 extern PServiceDescriptorTable KeServiceDescriptorTable; / / 名称: MyGetFunAddress
38、 / 功能: 获取函数地址 / 参数: 函数名称字符串指针 / 返回: 函数地址 / ULONG MyGetFunAddress( IN PCWSTR FunctionName) UNICODE_STRING UniCodeFunctionName; RtlInitUnicodeString( return (ULONG)MmGetSystemRoutineAddress( / / 名称: myGetCurrentAddress / 功能: 获取 SSDT 表中指定函数的当前地址 / 参数: index:指定函数在表中的索引号 / 返回: 地址 / ULONG myGetCurrentAddr
39、ess(IN ULONG index) ULONG SSDT_Cur_Addr; _asm push ebx push eax mov ebx,KeServiceDescriptorTable mov ebx,ebx mov eax,index shl eax,2 add ebx,eax mov ebx,ebx mov SSDT_Cur_Addr,ebx pop eax pop ebx return SSDT_Cur_Addr; VOID WPOFF() _asm cli mov eax,cr0 and eax,not 10000h mov cr0,eax VOID WPON() _asm mov eax,cr0 or eax,10000h mov cr0,eax sti 记在最后面的话:大家要善用搜索引擎(建议学习 google hacking 技巧) ,勤做笔记,最后要说的依然是感谢,感谢 GOOGLEBAIDUPEDIYDEBUGMAN。还有那些默默发帖的人 如果有时间的话,我会将其他几个游戏保护的分析资料也放出来什么 GPKHPHS 的。大家不要催不要急,一定会放出来的。等到我觉得这些东西都没有挑战性的时候那么也就不会再有资料陆续放出来了
