第一章:关于某F的虚拟化内存机制。
大家好,我是左右,开发与学习Intel-VT物理芯片组驱动程序有3~4年了。内存虚拟化,本来是微软为了优化老旧硬件的用户运行windows系统性能的一个分流内存储存管理器。没想到却成了某F的验证内存数据的“依赖系统”。
看来TP已经黔驴技穷。
TP(TenProtect)安全系统下的分支:ACE是如何工作的呢?
经过分析,进程“crossfire.exe”首次激活后,顺序执行以下操作:
1.打开函数:CreateServiceA 获取驱动对象表,OpenServiceA查询驱动服务项,搜索设备:“ACE-GAME”是否存在。
2.若存在,游戏进程“crossfire.exe” ID则会更改,不存在则会重新安装此驱动,路径“游戏路径\x64\ACE-GAME.sys”
3.“游戏路径\x64\ACE-GAME.sys”管理ACE反作弊系统主要环,由它运用r0权限分配在系统经过预启动和启动阶段后进入内核调用阶段时由 Ntldr 调用 ntoskrnl.exe
4.载入NT二进制代码后,调用/fastdetect /noguiboot对游戏内存进行虚拟化压缩(也就是这个点,导致常规R0,R3操作指令无法对其进行内存分配与调用。)
.........
到了这一步。我们知道TP子系统ACE的主要脚是“x64\ACE-GAME.sys”,我们能不能不让它安装,这样就可以可以达到所谓的破虚读?当然,这不行的。因为“crossfire.exe” 会调用一个最重要的函数来验证(不宜公开。)发现返回不符合,游戏就会出现运行错误,或者无响应。
既然我们不能阻止ACE正常运作,那我们可以从系统上入手?最开始我也是这样想的,以下是我最初的操作,却发现了一个重要的问题:
1.crossfire.exe是以当前的用户运行,那么它也只有我当前系统用户的权限。
2.我们以管理员运行CMD输入以下代码
CMD.EXE /C TAKEOWN /F C:\WINDOWS\SYSNATIVE\NTOSKRNL.EXE(*第一把:文件安全权限所有权移交给当前操作用户)
ECHO Y|CMD /C CACLS.EXE C:\WINDOWS\SYSNATIVE\NTOSKRNL.EXE /G SYSTEM:F (*第二步:除了System外,所有用户拒绝访问调用。ECHO Y|为管道输出,默认自动按Y。不输入这个则需要手动按Y同意执行)
输入这些命令后,我们在重新上游戏,发现“crossfire.exe”创建进程后,进行内存读取测试,发现竟然可以读了。
但是想了下,大厂不能这么随意,没加检测。果然!游戏不出半小时。闪退了!!!!
能存活半小时?也不封号?那么就很有意思了。
既然我改系统文件能破你的虚拟内存加密,又不存在封号的风险,我又何必动脑去搞你的ACE检测驱动。
我就在想,存活半小时才闪退。那么你肯定有东西有线程检测。
于是,我开始分析,究竟是什么东西知道我修改了系统文件权限。
终于,,,,被我发现了。
只要我在限制另外一个系统文件的权限,ACE就会存在一个半死状态。
我们以管理员运行CMD输入以下代码:
**** 本内容需购买 ****
联系我时,请说是在 挂海论坛 上看到的,谢谢! 我们以管理员运行CMD输入以下代码:
出书吧 我跪着看 nmb你不去写小说都白瞎了
页:
[1]