QQ华夏 - 反调试对抗

最新推荐文章于 2024-04-10 16:03:31 发布
最新推荐文章于 2024-04-10 16:03:31 发布
阅读量2.8k 收藏 22
点赞数 11
分类专栏: 游戏保护 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cussrro/article/details/107304984
版权

前言

      QQ华夏作为一款古董级的游戏,所使用的保护手段放到今天已经是非常脆弱了,朋友初学逆向,作为初级选手,这款游戏在合适不过,本着以学习为目的,就让我来带他打赢这第一仗。
 

对抗

      1.恢复 DbgUiRemoteBreakin HOOK
          OD 附加游戏闪退,使用 PCHunter 扫描进程钩子发现游戏对此函数做了 HOOK,右键恢复此函数钩子,约莫几秒游戏闪退,怀疑游戏对此函数有CRC校验。
QQ华夏_PassSafe

      2.干掉 DbgUiRemoteBreakin CRC

          使用 Windbg 对此函数下一字节访问断点,等待游戏校验此函数即可得到检测函数。
QQ华夏_PassSafe
          断下后单步运行至函数 ret 处,查看 eax 值,在此检测函数头部写入 eax 返回值,然后返回即可过掉此函数 CRC 校验。

/*
 *  创建的线程函数,等待游戏加载完检测模块,
 *  先干掉 CRC,然后等待游戏 HOOK 完 DbgUiRemoteBreakin,
 *  咋们在还原 HOOK
 */
DWORD WINAPI PassSafeThread(LPVOID lpThreadParameter)
{
	HMODULE Controller = NULL;	
	byte Code1[] = { 0xB8,0x00,0x00,0x00,0x00,0xC3 };
	byte Code2[] = { 0x6A,0x08,0x68,0xE8,0x07 };
	ULONG DbgUiRemoteBreakinAddr = 0;

	while (true)
	{
		Controller = GetModuleHandle("Controller.dll");
		if (Controller)
		{
			// Pass DbgUiRemoteBreakin CRC	
			if (!SetMemoryProtect((ULONG)Controller + 0x39300, 6, PAGE_EXECUTE_READWRITE))
			{
				MessageBox(NULL, "修改内存属性失败", "错误", MB_OK);
				return 0;
			}
			memcpy((void*)((ULONG)Controller + 0x39300), Code1, 6);

			// 恢复 DbgUiRemoteBreakin HOOK
			DbgUiRemoteBreakinAddr = GetModuleFunction("ntdll.dll", "DbgUiRemoteBreakin");
			if (DbgUiRemoteBreakinAddr)
			{
				if (*((byte*)DbgUiRemoteBreakinAddr) == 0xE9)
				{
					if (!SetMemoryProtect(DbgUiRemoteBreakinAddr, 5, PAGE_EXECUTE_READWRITE))
					{
						MessageBox(NULL, "修改内存属性失败", "错误", MB_OK);
						return 0;
					}
					memcpy((void*)DbgUiRemoteBreakinAddr, Code2, 5);

					break;
				}
			}
		}

		Sleep(100);
	}

	MessageBox(0, "PassSafe 成功", "提示", MB_OK);

	return 0;
}

 
      3.HOOK 查询调试状态的函数
          使用 Windbg 对 IsDebuggerPresent、CheckRemoteDebuggerPresent、NtQueryInformationProcess 函数下执行断点,发现游戏有调用这三个函数查询调试状态,所以需要处理。

__declspec(naked) BOOL PassSafe_IsDebuggerPresent()
{
	_asm
	{
		mov eax, 0
		ret
	}
}

BOOL WINAPI PassSafe_CheckRemoteDebuggerPresent(HANDLE hProcess, PBOOL pbDebuggerPresent)
{
	return FALSE;
}

__declspec(naked) PZwQueryInformationProcess PassSafe_NtQueryInformationProcess(
	_In_      HANDLE           ProcessHandle,
	_In_      PROCESSINFOCLASS ProcessInformationClass,
	_Out_     PVOID            ProcessInformation,
	_In_      ULONG            ProcessInformationLength,
	_Out_opt_ PULONG           ReturnLength)
{
	_asm
	{
		push ebp
		mov ebp, esp
		pushad
		pushfd
	}

	if (ProcessInformationClass == PROCESSINFOCLASS::ProcessDebugPort ||
		ProcessInformationClass == PROCESSINFOCLASS::ProcessDebugObjectHandle)
	{
		if (ProcessInformationLength)
		{
			ZeroMemory(ProcessInformation, ProcessInformationLength);
		}

		goto PASS_CHECK_DEBUG;
	}
	else if (ProcessInformationClass == PROCESSINFOCLASS::ProcessDebugFlags)
	{
		if (ProcessInformationLength)
		{
			memset(ProcessInformation, 0xFF, ProcessInformationLength);
		}

		goto PASS_CHECK_DEBUG;
	}

	_asm
	{
		popfd
		popad
		pop ebp
		mov eax, 0xEA
		mov edx, 0x7FFE0300
		call[edx]
		ret 0x14
	}

PASS_CHECK_DEBUG:

	if (ReturnLength)
	{
		*ReturnLength = 0;
	}

	_asm
	{
		popfd
		popad
		pop ebp
		mov eax,0
		ret 0x14;
	}
}

 
      4.解决游戏主线程触发软/硬断点崩溃
          到了这一步,OD 能附加上游戏了,但是下断点崩溃,使用 Windbg 查看 ETHREAD 结构 发现主线程 HideFromDebugger 值为1,该字段值可以通过 NtSetInformationThread 函数参数二传入 ThreadHideFromDebugger 设置为1,所以需要处理。
QQ华夏_PassSafe

__declspec(naked) PZwSetInformationThread PassSafe_NtSetInformationThread(
	__in HANDLE ThreadHandle,
	__in THREADINFOCLASS ThreadInformationClass, 
	__in_bcount(ThreadInformationLength) PVOID ThreadInformation,
	__in ULONG ThreadInformationLength)
{
	_asm
	{
		push ebp
		mov ebp, esp
		pushad
		pushfd
	}

	if (ThreadInformationClass == THREADINFOCLASS::ThreadHideFromDebugger)
	{
		if (ThreadInformationLength)
		{
			ZeroMemory(ThreadInformation, ThreadInformationLength);
		}

		_asm
		{
			popfd
			popad
			pop ebp
			mov eax, 0
			ret 0x10
		}
	}

	_asm
	{
		popfd
		popad
		pop ebp
		mov eax, 0x14F
		mov edx, 0x7FFE0300
		call [edx]
		ret 0x10
	}
}

 
      5.解决游戏扫描黑名单软件 结束游戏和软件
          OD 附加游戏挂一段时间,莫名其妙连同软件一起退出进程,猜测是扫描窗口或者扫描进程,在枚举窗口及进程相关函数下断之后,发现调用了 EnumWindows、EnumProcesses 进行扫描黑名单工具,所以需要处理。

// 检测进程 游戏会枚举进程是否存在非法调试器
	ULONG EnumProcessesAddr = GetModuleFunction("PSAPI.DLL", "EnumProcesses");
	if (!EnumProcessesAddr || !SetMemoryProtect(EnumProcessesAddr, 8, PAGE_EXECUTE_READWRITE))
	{
		MessageBox(NULL, "Pass EnumProcesses 失败", "错误", MB_OK);
		return;
	}
	else
	{
		byte code[] = { 0xB8,0x00,0x00,0x00,0x00,0xC2,0x0C,0x00 };
		memcpy((void*)EnumProcessesAddr, code, 8);
	}

	// 检测窗口 游戏会枚举窗口文字是否有非法文字
	ULONG EnumWindowsAddr = GetModuleFunction("user32.dll", "EnumWindows");
	if (!EnumWindowsAddr || !SetMemoryProtect(EnumWindowsAddr, 8, PAGE_EXECUTE_READWRITE))
	{
		MessageBox(NULL, "Pass EnumWindows 失败", "错误", MB_OK);
		return;
	}
	else
	{
		byte code[] = { 0xB8,0x00,0x00,0x00,0x00,0xC2,0x08,0x00 };
		memcpy((void*)EnumWindowsAddr, code, 8);
	}

 
      6.对抗成功
QQ华夏_PassSafe
QQ华夏_PassSafe

总结

      1.恢复 DbgUiRemoteBreakin 钩子,使游戏能被调试器正常暂停。
      2.干掉 DbgUiRemoteBreakin CRC,阻止游戏判断此函数是否被还原导致的闪退。
      3.HOOK IsDebuggerPresent、CheckRemoteDebuggerPresent、NtQueryInformationProcess 阻止游戏查询是否正在调试。
      4.HOOK NtSetInformationThread 阻止游戏隐藏主线程导致调试器断点触发奔溃。
      5.HOOK EnumWindows、EnumProcesses 阻止游戏扫描黑名单工具,导致游戏和工具一起闪退。
 

资源

      源代码: https://download.csdn.net/download/Cussrro/12621675

Cussrro
关注
  • 11
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
QQ华夏调用例子.rar
03-12
QQ华夏调用例子.rar
QQ华夏逆风源码.e
12-12
QQ华夏逆风辅助源码,自动黄龙仙人,PK保护,基址需要更新。
逆向技术入门之主线程调用防止软件崩溃
最新发布
douluo998的博客
04-10 451
每条线程是独立的,但是虽然是独立的线程,也要有一定的原则,线程和线程之间不可以产生数据访问或则逻辑等冲突,否则会导致游戏软件崩溃以及不可预知的错误。变成了现在的 向主线程发送消息 让窗口回调函数帮你调用 ,需要提前做的就是 重置窗口回调函数以及在窗口回调函数中写入你要调用的代码即可。if (lpArg->hwnd==Call_获取窗口句柄()&&lpArg->message==g_My消息ID)//我们自己的消息。Call_明文发包(封包->nd包长,封包->p);
CE+OD无法附加游戏进程的破解方法
热门推荐
qq_41792038的博客
05-22 1万+
CE+OD无法附加游戏进程的破解方法 来吧 别在为这烦恼了 其实看过 windows 核心编程那本书的人都知道 计算机编程领域 那些所谓的游戏保护 真的只是为难菜鸟而已,对于大鸟基本不起作用. 游戏无法就是采用 线程 进程 SSDT等等这些东西来限制一些如:CEOD ASM32这些工具调试而已 比如OD调试一个程序进程 首先做的是2步操作 ...
QQ华夏调试分析
lwglucky的专栏
01-30 8921
QQ华夏不知道什么时候加了调试,看了一下,不是很难,写下来玩玩。        QQ华夏调试症状:OD加载后,一会就会退出。无论你开了OD,IDA,这类软件,无论你调试没有,都会被关闭掉。。加载 StrongOD 、HideOD之类调试插件也没有用。:~(        其实调试很简单,游戏是开启了一个线程(或者是timer)检查。检查的黑名单比较多,包括:OllyDB
qq华夏2
kaka的专栏
09-22 769
一. 华夏大势   华夏大陆经过若干年的休养生息,逐渐形成了一个相对稳定的格局。人族似乎更多地得到上天的眷顾,数量最多分布也最广,东到海滨,西临大漠,北至冰川,南涉蛮荒。差不多两千多年前,伏羲女娲的出现,将人族完全带入到了文明社会,他们教会人们使用各种工具,教会人们辨别食物,并传授了许多生活及战斗技能,并初步使分散各地的人们统一起来。不过因为当时的部族太多,在伏羲女娲飞升之后的很长时间里,华夏大陆
GalaxyAP过游戏调试框架
11-23
工程说明: 1.GalaxyAP 应用程序 2。HookPortBypass 重加载内核(包括nt和win32k) 3。TEST_KIDISPAT 自分发异常(朋友帮忙实现了部分,代码主要来源WRK) ps:hookport代码抄网上的,来源http://www.m5home.com/bbs/forum.php 这套GalaxyAP工程主要实现了: 1。重加载内核(借助 hookport思路配合peloader) 2.自实现异常分发的几个主要函数 3。自创建debugobject,使用另一个object 3。也使用了另一个fastmute 4。自己发现吧。。。 PS:驱动的加载有时候在游戏前好使有时候在启动游戏后好使 PPS:这货也只能在XP上跑了 实现了HOOK框架,只需要按下面填写即可 ////////////////////////////////////////////// //这是为了HOOK原来的ntos,转到新的os中 VOID (WINAPI *DUMMYFUCK )(IN PVOID Object); // VOID (WINAPI *PspUserThreadStartup )(IN PVOID Object); // VOID (WINAPI *PspSystemThreadStartup )(IN PVOID Object);
游戏调试
墨鱼菜鸡
09-09 651
最近比较无聊,有朋友就喊我去玩玩打枪的小游戏,然后由于我怕麻烦所以把游戏安装到虚拟机中了,然后我虚拟机开了双机调试器,其实是由于我比较懒不想关双机调试,导致游戏弹出窗口要求我关闭调试器。 小样,你叫我关就关岂不是很没有面子,然后我做了下面的事情。 首先看是不是检测了SharedUserData->KdDebuggerEnabled 这里手动在...
游戏调试技术研究
11-09 3541
现在的网络游戏,几乎就没有不对外挂深恶痛绝的,对应而生的就是众多的调试技术,根据我对多个游戏的研究,发现现在的游戏调试技术无外乎以下几种方式.(当然,游戏游戏本生无调试代码,但是游戏加了壳,壳中有调试机制)我在这里就把这些方法列出来,同时尽量给出解决方案,欢迎大家探讨.1.  通过调用API BOOL IsDebuggerPresent(VOID)来检测程序是否是处于调试状态.pus
网游逆向分析与插件开发-游戏调试功能的实现-项目需求与需求拆解
计算机王的博客
12-22 728
网络游戏逆向、网络游戏安全、网络游戏攻防、c++
最新OllyDBG调试工具过检测集成插件
05-26
破解利器,最新版,无广告,无其他垃圾快捷方式,真正绿色版!最新过游戏保护,集成多个插件
QQ华夏喊话源码.rar
03-12
QQ华夏喊话源码.rar
QQ华夏脚本-自动领军需官任务
09-15
QQ华夏--QQ华夏自动领军需官任务 [QQ华夏自动领军需官任务] 1.屏幕内 要看的到军需管..你最好把玩家的姓名和血条去掉,否则会挡到.. 2.请确保你的游戏是在激活状态下(可先发一句话测试下) 3.鼠标点下游戏内,然后按...
QQ爱墙-华夏爱墙 v3.0.rar
07-05
A.首页的贴纸美化,体积变大,可以容纳更多的信息和更大的图片,并且使其透明化 B.将原来独立管理的音乐功能,结合到同一个后台,方便大家快捷管理自己的音乐 C.后台管理-网站参数设置,增加了设置默认打开音乐...
49.网游逆向分析与插件开发-游戏调试功能的实现-软件调试器设计的基本原理
计算机王的博客
12-23 1283
网络游戏逆向、网络游戏安全、网络游戏攻防、c++
调试调试学习·1(挖坑)
黑夜黎明
06-19 1776
文章目录个人理解静态调试PEBTEB原始API攻击调试器打开进程检查TLS回调函数使用普通API动态调试使用SEH时间检查单步检查补丁检查汇编偷取代码分页保护壳虚拟机 个人理解   2019.6.19 在汇编面前没有任何程序有秘密(opcode层面做的技巧改动没接触到),调试是打开程序内部乃至程序一切的一把钥匙,调试就是让钥匙失效的一种手段。调试根据破坏调试过程的时间不同整体分为静态...
C++ 调试(DbgUiRemoteBreakin)
LYSM
11-19 2680
碰到一个有调试的软件,正常附加这个进程时是会失败的(进程崩溃) 这是因为程序挂钩了 DbgUiRemoteBreakin 这个 API 的原因,打开 PCHunter,查看进程钩子,找到 DbgUiRemoteBreakin 恢复: (恢复后不要忘记刷新下看钩子是否还会自动生成) 再次用调试附加,发现程序已成功断下: 神兽致敬 = = ...
华夏erp-用户手册v3.2
08-02
华夏ERP用户手册V3.2是一本指导用户使用华夏ERP软件的工具书。该手册内容丰富,共分为多个章节,包括软件的安装、基本设置、数据管理、报表分析、系统维护等方面。 首先,该用户手册详细介绍了软件的安装过程,包括系统环境要求、安装步骤、常见问题解答等内容,为用户提供了快速上手软件的指导。 其次,手册重点介绍了软件的基本设置,包括组织架构设置、权限管理、基础数据维护等,帮助用户灵活管理企业组织结构和人员权限,确保系统正常运行。 接着,手册详细描述了华夏ERP中的数据管理功能,包括供应链管理、采购管理、销售管理、库存管理等,帮助用户实时掌握企业各项运营数据,提高运营效率。 此外,手册还介绍了华夏ERP的报表分析功能,其中包括各种报表的生成过程、报表分析方法等,帮助用户深入了解企业的经营状况,为决策提供参考依据。 最后,用户手册还包含了一些系统维护的指南,包括备份与恢复、升级与更新、常见问题解答等内容,为用户提供了解决一些常见问题的方法,确保系统的正常运行。 综上所述,华夏ERP用户手册V3.2是一本非常实用的工具书,通过详细的介绍和指导,帮助用户快速上手并熟练使用华夏ERP软件,提高企业的管理水平和运营效率。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值