[ring3反作弊篇] 基于EBP遍历调用栈及模块名

最新推荐文章于 2023-07-26 12:39:42 发布
最新推荐文章于 2023-07-26 12:39:42 发布
阅读量2.6k 收藏 2
点赞数 1
分类专栏: ASM/WTL/MFC/QT 文章标签: VC 遍历 反作弊 EBP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangningyu/article/details/44569803
版权

[ring3反作弊篇] VC++基于EBP遍历调用栈及模块名


入门级反作弊代码仅供参考~~




//
// CallStackList.cpp : 定义控制台应用程序的入口点。
//
// thanks for NV.
//

#include "stdafx.h"
#include <Windows.h>
#include <stdio.h>

#include "EasyDetour.h"

#include <TlHelp32.h>
#include <Psapi.h>
#pragma comment(lib,"psapi.lib")

typedef int (WINAPI *fnMessageBoxA)(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType);

fnMessageBoxA	pMessageBoxA = NULL;

DWORD Functiion(DWORD x, DWORD y);


//
// 提取函数
//
BOOL TiQuan()
{
	HANDLE	hToken;
	BOOL	fOk = FALSE;

	if(OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES,&hToken))
	{
		TOKEN_PRIVILEGES tp;
		tp.PrivilegeCount=1;
		if(!LookupPrivilegeValueA(NULL,"SeDebugPrivilege",&tp.Privileges[0].Luid))
			Sleep(1);

		tp.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
		if(!AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(tp),NULL,NULL))
			Sleep(1);

		fOk = (GetLastError() == ERROR_SUCCESS);
		CloseHandle(hToken);
	}

	return fOk;
}

//
// 获取PE文件大小
//
DWORD GetPEImageSize(HMODULE hModule)
{
	PBYTE pInfo = (PBYTE)hModule;
	PIMAGE_DOS_HEADER pImgDos = (PIMAGE_DOS_HEADER)pInfo;
	PIMAGE_NT_HEADERS pImgNt;
	if(pImgDos->e_magic==IMAGE_DOS_SIGNATURE)
	{
		pImgNt = (PIMAGE_NT_HEADERS)&pInfo[pImgDos->e_lfanew];
		if(pImgNt)
		{
			if(pImgNt->Signature==IMAGE_NT_SIGNATURE)
			{
				return pImgNt->OptionalHeader.SizeOfImage;
			}
		}
	}
	return NULL;
}

//
// Hook MessageBox for test
//
BOOL WINAPI GetCheatModuleByEBP(DWORD nEBP,char *pszPath,int nLen)
{
	TiQuan();
	if(nEBP == 0)
		return FALSE;

	DWORD	nPEB = nEBP;
	BOOL	bFound = FALSE;
	HMODULE hMods[1024] = {0};
	DWORD	cbNeeded = 0;
	char	szModName[MAX_PATH];

	HANDLE hProcess = ::OpenProcess(PROCESS_QUERY_INFORMATION|PROCESS_VM_READ|PROCESS_QUERY_LIMITED_INFORMATION, FALSE, GetCurrentProcessId());
	//IsWow64Process(hProcess, &Wow64Process); //判断是32位还是64位进程
	EnumProcessModules(hProcess, hMods, sizeof(hMods), &cbNeeded);

	nPEB = nEBP;
	for (UINT i = 0; i < (cbNeeded / sizeof(HMODULE)); i++ )
	{
		GetModuleFileNameExA(hProcess, hMods[i], szModName, _countof(szModName));
		if(hMods[i])
		{
			if(nPEB >= (DWORD)hMods[i] && (nPEB <= ((DWORD)hMods[i] + GetPEImageSize(hMods[i]))))
			{
				memset(pszPath,0x00,nLen);
				wsprintfA(pszPath,"%s",szModName);
				bFound = TRUE;
				break;
			}
		}
	}

	CloseHandle(hProcess);
	return bFound;
}

//
// Hook MessageBox for test
//
int WINAPI newMessageBoxA(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType)
{
	Functiion(0,0);
	return pMessageBoxA(hWnd,lpText,lpCaption,uType);
}

//
// 回调函数
//
DWORD BackCall(DWORD Address)
{
	char	szDllPath[MAX_PATH] = {0x00};
	if(GetCheatModuleByEBP(Address,szDllPath,MAX_PATH))
		printf("检测地址:0x%08x  %s\n", Address, szDllPath);
	else
		printf("检测地址:0x%08x  未知模块\n", Address, szDllPath);

	//
	// 在这里添加白名单 黑名单匹配的代码 (黑名单返回1 白名单返回0)
	//

	return 0;
}

//
// 检测呼叫者调用连
//
BOOL __declspec(naked)  Check(void)
{
	__asm push ebp;
	__asm mov ebp, esp;
	__asm sub esp, 0x8;

	__asm push edi;
	__asm push ecx;

	//
	// 查询次数
	__asm mov ecx, dword ptr[ebp + 0x8];

	//
	// 设置堆栈指针
	__asm mov edi, dword ptr[ebp];

__Loop:

	//
	// 保存当前堆栈的返回地址 也就是呼叫这个函数的上一层函数的内存空间
	__asm mov eax, dword ptr[edi + 0x4];

	//
	// 调用匹配规则函数
	__asm push eax;
	__asm call dword ptr[ebp + 0xc];
	__asm add esp, 0x4;
	
	//
	// 获取上一个堆栈的指针
	__asm mov edi, dword ptr[edi];

	__asm cmp eax, 0x1;
	__asm je __Out;

	//
	// 如果已经为空了 则直接退出
	
	__asm cmp edi, 0x0;
	__asm je __Out;

	__asm loop __Loop;

__Out:

	__asm pop ecx;
	__asm pop edi;
	__asm add esp, 0x8;
	__asm pop ebp;
	__asm ret;
}



//
// 测试函数
//
DWORD Functiion(DWORD x, DWORD y)
{

	//
	// 设置回调函数
	__asm mov edx, dword ptr[BackCall];
	__asm push edx;

	//
	// 设置最大检测深度
	__asm push 0x50;
	__asm call dword ptr[Check];
	__asm add esp, 0x8;

	return x + y;
}

// 这里是测试函数
DWORD Function(DWORD x,DWORD y)
{
	//x += y;
	__asm mov edx,dword ptr[x];
	__asm add edx,0x10;				// 深度检测10个
	__asm mov dword ptr[x],edx;
	return x;
}

int MsgBox()
{
	return MessageBoxA(NULL,"Hello World by Koma !","Test",MB_OK);
}

int _tmain(int argc, _TCHAR* argv[])
{
	pMessageBoxA = MessageBoxA;
	DetourHook((void**)&pMessageBoxA,newMessageBoxA);
	MsgBox();
	while(getchar() != 'a')
		Sleep(0);
	DetourUnHook((void**)&pMessageBoxA,newMessageBoxA);
	return 0;
}


vs2010源码工程下载:

http://www.rayfile.com/zh-cn/files/a1dcbf4c-d15e-11e4-ac13-0015c55db73d/




vs2010源码工程下载


汪宁宇
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
市场上所有的反作弊汇总
反作弊
12-05 3989
一、现存问题 第三方流量主的流量质量不佳,甚至进行流量作弊。而当前要解决的问题为:判断流量是否是作弊的流量 举例:1.假量 2.次量、真假量互掺 3.针对我们的程序实现作弊方案 二、概念明确 要解决这一问题,可从影响流量主自身利益方面入手: 1.流量主信用度 (1)流量主的信用度和流量主收益有关,在使用时具备参考价值 (2)流量主的信用度提供给同行其他企业作为信息公示 2
[ring3反作弊] VC++基于EBP遍历调用栈及模块
03-23
[ring3反作弊] 基于EBP遍历调用栈及模块 注意:这是一份C++ Ring3 入门级的反作弊示例代码,基于函数调用的检测
利用32位PEB结构实现从进程ID中得到进程完整路径
nyzdmc的博客
11-20 1248
本程序只使用于32位! 即只能寻找32位进程的完整路径! 使用PEB结构以得到进程的完整路径(包括从进程ID得到进程PEB地址和从PEB结构得到进程完整路径) GetProcessFullPathByProcessID相当于两个函数GetPebByProcessID,GetProcessFullPathByPeb的合并。 从PEB结构中得到进程的完整路径: 通过PEB结构中的RTL_USER_PROCESS_PARAMETERS类型的ProcessParameters成员,ProcessParamet
asm:常见指令大全
李白
07-26 926
常见指令大全 算数指令 INC 指令 DEC 指令 ADD 指令 SUB指令 MUL指令 IMUL指令 DIV指令 IDIV指令 逻辑指令 AND指令 OR指令 XOR 指令 TEST指令 NOT指令 跳转指令 条件跳转指令 无条件跳转指令
学 Win32 汇编[28] - 跳转指令: JMP、JECXZ、JA、JB、JG、JL、JE、JZ、JS、JC、JO、JP 等
热门推荐
wwwwws的专栏
01-31 2万+
http://www.cnblogs.com/del/archive/2010/04/16/1713886.html 跳转指令分三类: 一、无条件跳转: JMP; 二、根据 CX、ECX 寄存器的值跳转: JCXZ(CX 为 0 则跳转)、JECXZ(ECX 为 0 则跳转); 三、根据 EFLAGS 寄存器的标志位跳转, 这个太多了. 根据标志位跳转的指令: JE
学 Win32 汇编[28] - 跳转指令: JMP、JECXZ、JA、JB、JG、JL、JE、JZ、JS、JC、JO、JP 等...
weixin_34329187的博客
04-16 1万+
跳转指令分三类: 一、无条件跳转: JMP; 二、根据 CX、ECX 寄存器的值跳转: JCXZ(CX 为 0 则跳转)、JECXZ(ECX 为 0 则跳转); 三、根据 EFLAGS 寄存器的标志位跳转, 这个太多了. 根据标志位跳转的指令: JE ;等于则跳转 JNE ;不等于则跳转 JZ ;为 0 则跳转 JNZ ;不为 0 则跳转 JS...
C语言函数调用(三)
02-21
本节通过代码实例分析函数调用过程中帧的布局、形成和消亡。示例代码如下:该程序每个函数都嵌入汇编代码,以获取各函数运行时刻EBP和ESP寄存器的值。每个函数都打印出EBP寄存器所指向内存地址处的值,以及位于其...
通过EBP EIP来找函数调用
11-06
通过EBP EIP来找函数调用 通过EBP EIP来找函数调用 通过EBP EIP来找函数调用 通过EBP EIP来找函数调用
反汇编代码中EBP和ESP的关系
10-23
本文档主要介绍高级语言反汇编之后的汇编代码中寄存器EBP的作用。
逆向基础—ASM结构代码识别
Leon~博客
05-12 1228
目录 1、标识符(字+类型) 从字得到?从类型得到? 2 、运算符+表达式(比如,算术+逻辑+关系) 3、语句(if、switch、for、while、break)结构在asm表示 4、数组、结构体、指针 5、函数调用stack):参数压顺序、传递、帧概念、返回 对应C代码语言 1、标识符(字+类型) 从字得到?从类型得到? 定义四种变量类型:char,int,double,float,如图所示: 汇编中表示如下: 在C语言中,char:1字...
RING3反外挂系统vc6.0版(dll版特征码+数据共享)
01-21
对于反WG做初步的解释: 没有采用驱动技术,而是采用了大众化的动态链接库技术(DLL),兼容性强,可在xp 、win7、 win8 等操作系统上运作。 功能如下: 1、启动线程检测 网速主流和非主流内存搜索工具的检测(比如金山游侠、ce等) 2、启动线程检测 检测游戏自身的DLL是否出了非法模块,比如 speed.dll等变速齿轮的dll 或wpe.dll封包拦截工具WPE的dll,沙盘的dll 3、非法主流WG的窗口标题 4、采用 Code Virtualizer 对DLL本身的敏感代码上进行了加壳处理 //虚拟机保护,正常的反汇编代码会变为杂乱无章的 怪异汇编指令。
test和je指令的组合用法
counsellor的专栏
07-11 2万+
0x00 指令介绍 test 指令用于两个操作数的按位AND运算,并根据结果设置标志寄存器,结果本身不会写回到目的操作数。 要点: 1. AND 运算结果为0时, ZF(zero flag)置位; 2. test可以影响CF,OF,PF,SF,ZF标志位; 3. 两个操作数相等,同时为0时,AND 结果为0, 此时ZF置位。 je 指令【Jump if Equals】在ZF被置位时跳转。...
ring0 根据EThread遍历线程
08-22 357
ntdll!_ETHREAD +0x000 Tcb : _KTHREAD +0x200 CreateTime : _LARGE_INTEGER 0xff58b008 +0x208 ExitTime : _LARGE_INTEGER 0x400000`91334e00 +0x208 KeyedWaitChain : ...
Linux/Documentations: Kernel Livepatching
RToax
09-30 1180
Livepatch — The Linux Kernel documentationhttps://www.kernel.org/doc/html/latest/livepatch/livepatch.htmlLivepatching_RToax-CSDN博客Live patching - Gentoo Wikihttps://wiki.gentoo.org/wiki/Live_patchingKernel live patching is an 'update-and-coming' kernel fea
stackwalk
thtfpcuser的专栏
07-11 3623
在32位的windows7系统 stackwalk得到的调用(frame)个数少。改用stackwalk64是正确的。为什么同样代码在32位xp上管用,32位windows7上有问题?我用错了?
springboot(酒店管理系统)
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
BP神经网络matlab实例.doc
最新发布
04-25
数学模型算法
设计.zip
04-25
设计.zip
push ebp
02-22
在x86汇编语言中,`push ebp`是一条指令,用于将当前函数的基址指针(EBP)的值压入中。这个操作通常发生在函数的开头,作为函数的一部分,用于保存调用者的EBP值。 EBP寄存器是一个非常重要的寄存器,用于在函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汪宁宇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值