过TP保护与解除游戏驱动保护_可以借鉴

╰堕落的青春 发表于 2015-3-25 00:30:37

过TP保护与解除游戏驱动保护_可以借鉴

TP 是国内腾讯游戏一款比较流行的驱动级保护程序.
负责保护腾讯每款游戏不被修改破坏，

也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会例如OD与CE无法进行如以下操作：
无法附加进程,
无法打开进程,
游戏进程被隐藏无法在工具中查看到,
内存无法读取代码
内存修改后游戏掉线
无法双机进行调试
出现SX非法模块提示 `
其实以上说的这么多限制都是因为TP保护造成的.其实这些东西研究了很久后,发现其实就是黑色老大常说的APIHOOK这方面. 7%32E1F)%
例如XNF的TP保护就是HOOK了以下几个API函数来禁止上面刚才说的那些：
NtOpenThread //这是TP防止调试器在它体内创建线程
NtOpenProcess //这是TP防止OD等在进程列表看到游戏进程
KiAttachProcess //这是TP防止其他软件附加它
NtReadVirtualMemory//这是TP防止别人读取它的内存
NtWriteVirtualMemory//这是TP防止别人在它的内存里面乱写乱画
KDCOM.dll:KdReceivePacket//这是TP这两个是COM串口的接受和发送数据
KDCOM.dll:KdSendPacket    //这是TP主要用来方式别人双机调试,TP使用了KdDisableDebugger来禁用双机调试.
TP通过将以上这几个API进行HOOK后来保护游戏, 看过独立团第四版本易语言教程的人应该知道以上的那几个API函数开头是 Nt 的吧
Nt开头的是ntdll.dll库中的函数,也正是黑色衬衣老大在第四版本易语言教程中有一篇课程是讲 SSDTHOOK与恢复这方面的.
那么TP保护它比较变态,并对debugport进行了疯狂的清零操作甚至还包括EPROCESS+70\+74\+78等几处位置处理的手段通常都是向64端口写入FE导致计算机被重启。
下面我简单看说下以上关键的几个APIHOOK：
1.KiAttachProcess 函数
2.NtReadVirtualMemory 内存函数
3.NtWriteVirtualMemory 内存函数
4.NtOpenThread 线程函数
5.NtOpenProcess 进程函数
那么前3个函数是可以直接SSDT恢复的第四版本易语言教程老大讲了如何恢复的不明白的可以自己去看教程。
第4个函数是有监视，如果直接恢复的话电脑会即刻重启.（TP蛮变态）
第5个函数和ring3有驱动通信，直接恢复这个函数的话游戏会在1分钟内弹出SX非法模块提示.

既然我们现在知道了TP保护的保护特点和这几个API分析后的结果.
接下来就是要做出相应的解除TP保护（也就是这些APIHOOK）
下面我在梳理一下头绪给出相应的解决方案
1.首先直接恢复第1、2、3处的SSDT表中的HOOK
2.绕过4、5处的HOOK 不采用直接恢复
3.将TP保护程序中的debugport清零的内核线程干掉停止该线程继续运行.
4.恢复硬件断点
但是要有一个先后的逻辑顺序
因为内核有一个线程负责监视几个地方，必须要先干掉它。
但是这个内容我写在了处理debugport清零的一起，也就是第3步。所以大家在照搬源码的时候注意代码执行次序。
下面我们就开始写解除TP保护的代码,因为本人喜欢C++ 所以是c++编写,如果是使用易语言的话就自己翻译过来吧
先从简单的工作讲起，恢复1、2、3处的HOOK
KiAttachProcess函数的处理的代码：

/////////////////////////////////////////////////////////////////////
02.//名称:Nakd_KiAttachProcess
03.//功能:My_RecoveryHook_KiAttachProcess的中继函数
04.//参数:
05.//返回:
06.//////////////////////////////////////////////////////////////////////
07.static NAKED VOIDNakd_KiAttachProcess()
08.{
09.__asm
10.{
11. mov edi,edi
12. push ebp
13. mov ebp,esp
14. push ebx
15. push esi
16. mov eax,KiAttachProcessAddress//注意这个是全局变量 BYTE*
17. add eax,7
18. jmp eax
19.}
20.}
21.//////////////////////////////////////////////////////////////////////
22.//名称:RecoveryHook_KiAttachProcess
23.//功能:解除游戏保护对_KiAttachProcess函数的HOOK(XNF)
24.//参数:
25.//返回:状态
26.//////////////////////////////////////////////////////////////////////
27.NTSTATUS My_RecoveryHook_KiAttachProcess()
28.{
29.BYTE *KeAttachProcessAddress = NULL;//KeAttachProcess函数地址
30.BYTE *p;
31.BYTE MovEaxAddress= {0xB8,0,0,0,0};//
32.BYTE JmpEax    = {0xff,0xe0};
33.KIRQL Irql;
34.//特征码
35.BYTESignature1 = 0x56,//p-1
36.    Signature2 = 0x57,//p-2
37.    Signature3 = 0x5F,//p-3
38.    Signature4 = 0x5E,//p+5
39.    Signature5 = 0xE8;//p第一个字节
40.//获得KeAttachProcess地址,然后通过特征码找到
41.//KiAttachProcess的地址
42.KeAttachProcessAddress = (BYTE*)MyGetFunAddress(L"KeAttachProcess");
43.if (KeAttachProcessAddress == NULL)
44.{
45. KdPrint(("KeAttachProcess地址获取失败\n"));
46. returnFAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
47.}
48.//将p指向KeAttachProcess函数开始处
49.p = KeAttachProcessAddress;
50.while (1)
51.{
52. if ((*(p-1) == Signature1) &&
53.    (*(p-2) == Signature2) &&
54.    (*(p+5) == Signature3) &&
55.    (*(p+6) == Signature4) &&
56.    (*p == Signature5))
57. {
58.    //定位成功后取地址
59.    KiAttachProcessAddress = *(PULONG)(p+1)+(ULONG)(p+5);
60.    break;
61. }
62. //推动指针
63. p++;
64.}
65.//计算中继函数地址
66.*(ULONG *)(MovEaxAddress+1)=(ULONG)Nakd_KiAttachProcess;
67.WPOFF();//清除CR0
68.//提升IRQL中断级
69.Irql=KeRaiseIrqlToDpcLevel();
70.//写入
71.RtlCopyMemory(KiAttachProcessAddress,MovEaxAddress,5);
72.RtlCopyMemory(KiAttachProcessAddress+5,JmpEax,2);
73.//恢复Irql
74.KeLowerIrql(Irql);
75.WPON(); //恢复CR0
76.returnSTATUS_SUCCESS;
77.}

yuzhibo 发表于 2015-3-27 03:26:43

纯粹路过，没任何兴趣，仅仅是看在老用户份上回复一下

Tesla.Angela 发表于 2015-4-2 23:58:26

好帖必须得顶起

咱ゝ尛傀 发表于 2015-5-27 13:49:16

非常感谢！这个真的很实用。

op10 发表于 2015-7-15 20:44:37

打酱油的啦，飘过赚点海币而已。

fnvtk 发表于 2015-7-16 13:21:10

好帖必须得顶起{:titter:}

樱桃发表于 2015-7-16 21:18:33

朋友之间不要合作做生意，或者办公司。麻烦会接踵而来。你要减轻负担，减小风险，可以，找陌生人。

完美不美 发表于 2015-7-30 09:29:46

三个字, 没看懂

a1037048277 发表于 2015-7-31 17:59:22

打酱油的啦，飘过赚点海币而已。

仅剩的微笑 发表于 2015-7-31 20:58:25

楼主，你的高尚情.真的太让我感动~

页: [1] 2 3 4 5

挂海论坛's Archiver

过TP保护与解除游戏驱动保护_可以借鉴