使用内核编程破游戏图标防护

目山 · 发表于 2018-12-30 17:17:41

本帖最后由目山于 2018-12-30 17:30 编辑

大家好我是目山刚来挂海第一篇帖子写的不好多多包涵
学习内核编程有段时间了有写了点小东西藏着也是藏着放烂了还不如发出来
0x00:
游戏没“图标”这是一个对于开发人员很痛恨的事

CE无法查看内存 OD无法附加这就让我们的开发变得无从下手（OD看不到XF 所有OD测试这里使用的是腾讯模拟器）
0x01：
这是什么原理能？我们使用PCHunter64查看一下内核钩子->Object钩子

可以看到有这几个T* 的钩子这就是没“图标”的罪魁祸首这是通过微软提供的对象管理函数 ObRegisterCallbacks
注册的对象回调  他能监控进程对象（在应用层就是进程句柄）和线程对象（线程句柄）
T* 就是用的这个回调来限制其他进程获取他的句柄（句柄的重要性就不用我多说了吧）
CE获取进程内存需要使用 OpenProcess这个API 来获取进程句柄但是由于得到进程句柄被T*动了手脚

导致后续围绕进程句柄的操作全部失效（读内存  写内存等等.. OD的进程附加也需要句柄所以~~）
0x02:

      知道了原理就可以对他进行处理试下方法很简单注册一个一样的回调恢复对象的访问权限我们看一下代码

0x03:

接下来编译一下看一下实现效果另外说一下这个弱智360 如果你的签名过期了或者不可用就直接报毒不签名到没事。。。
大家可别黑我有毒或者远控自己信不过就查一下毒这个应该过全部的游戏的图标 WIN10 WIN7 我都编译了一份可以直接用
链接：https://pan.baidu.com/s/1Z0VN2p9I2l7HeQDIGcQJAQ 提取码：ucha
弟弟我打字不易各位大佬拿了东西就评论一哈如果觉得好用就给弟弟我点海币

请点击此处下载

请先注册会员后在进行下载

已注册会员，请先登录后下载