XX游戏R3层反调试 初探

游戏反调试技术解析
最新推荐文章于 2025-09-11 17:40:05 发布
转载 最新推荐文章于 2025-09-11 17:40:05 发布 · 8.8k 阅读 · 11

本文详细解析了游戏采用的反调试技术,特别是针对DbgBreakPoint等API的HOOK手法,探讨了这些技术如何干扰调试器的工作流程,并提出了恢复被HOOK API的方法。

转载于织梦未来

本机环境:win7 64位

首先用工具PC Hunter 来查看下应用层钩子
3.jpg 



首先直接映入眼帘的就是DbgBreakPoint, DbgUiRemoteBreakin ,DbgUserBreakPoint 这三个inline hook 对 反调试 做得手脚
    len(1) ntdll.dll->DbgBreakPoint                0x000000007787000C->_                inline                C3                CC
    len(5) ntdll.dll-> DbgUiRemoteBreakin                 0x00000000778FF8EA->_                inline                E9 D2 DC FA FF                6A 08 68 60 BA
    len(1) ntdll.dll->DbgUserBreakPoint                0x000000007787000C->_                inline                C3                CC


DbgBreakPoint和DbgUserBreakPoint        直接 retn返回了 而没有了中断CC
当我们在用OD附加游戏的时候,会创建一个远程线程,而创建这个线程来调试的时候没有了CC中断指令,这样调试器就接受不到中断指令。

我们可以用工具查看下ntdll.dl

ntdll_DbgBreakPoint_ApiDisasm
地址       十六进制       反汇编                               
---------------------------------------------------------------
7787000C   CC             INT3                                 ---此处被游戏直接改成 C3
7787000D   C3             RETN                                 


ntdll_DbgUserBreakPoint_ApiDisasm
地址       十六进制       反汇编                               
---------------------------------------------------------------
77870008   CC             INT3                                 ---此处被游戏直接改成 C3
77870009   90             NOP                                  
7787000A   C3             RETN                                 


两个api都直接RETN 没有了INT3中断,无法断下来。

之后我们再来看看 DbgUiRemoteBreakin 这个函数


地址       十六进制       反汇编                               
---------------------------------------------------------------
778FF8EA   6A 08          PUSH 8                               
778FF8EC   68 60BA8877    PUSH 7788BA60                        
778FF8F1   E8 EEE5F8FF    CALL 7788DEE4                        
778FF8F6   64:A1 18000000 MOV EAX,FS:[18]                      
778FF8FC   8B40 30        MOV EAX,DS:[EAX+30]                  
778FF8FF   8078 02 00     CMP BYTE PTR DS:[EAX+2],0            
778FF903   75 09          JNZ SHORT 778FF90E                   
778FF905   F605 D402FE7F 02TEST BYTE PTR DS:[7FFE02D4],2        
778FF90C   74 28          JE SHORT 778FF936                    
778FF90E   64:A1 18000000 MOV EAX,FS:[18]                      
778FF914   F680 CA0F0000 20TEST BYTE PTR DS:[EAX+FCA],20        
778FF91B   75 19          JNZ SHORT 778FF936                   
778FF91D   8365 FC 00     AND DWORD PTR SS:[EBP-4],0           
778FF921   E8 E606F7FF    CALL ntdll.DbgBreakPoint             
778FF926   EB 07          JMP SHORT 778FF92F                   
778FF928   33C0           XOR EAX,EAX                          
778FF92A   40             INC EAX                              
778FF92B   C3             RETN                                 


至于游戏对这个API做的一些手脚我们可以用OD附加一下试试,附加后游戏崩溃 不过 已经附加上有游戏的代码 就可以了


我们来查看下ntdll.dll这个模块 
1.jpg 


我们关键看的还是ntdll.dll的基址
77840000 再加上
序数   函数名                               地址          参数量  
62     DbgUiRemoteBreakin                   0009F8EA      0    
的偏移 77840000+0009F8EA = 778DF8EA


我们直接crtl+g转到778DF8EA
2.jpg 


我们可以看到 这个地方第一句直接跳转到 ntdll.LdrShutdownProcess

我们再来看下解释。从字面的意思我们也能看出 结果是退出进程
5.jpg 
 -----------------------------------------------------------

//这两句话是看雪中看到的资料 之后就没继续跟进细看

DbgUiRemoteBreakin是执行DbgBreakPoint前的一个调用
LdrShutdownProcess将直接给每个已经加载的dll模块发消息,  dll将被卸载 这样就导致了OD一加载, dll等模块就被卸载掉了


地址       十六进制       反汇编                               
---------------------------------------------------------------
778DF8EA >^\E9 D2DCFAFF     JMP ntdll.LdrShutdownProcess
778DF8EF    8677 E8         XCHG BYTE PTR DS:[EDI-18],DH
778DF8F2    EE              OUT DX,AL
778DF8F3    E5 F8           IN EAX,0F8
778DF8F5    FF64A1 18       JMP DWORD PTR DS:[ECX+18]
778DF8F9    0000            ADD BYTE PTR DS:[EAX],AL
778DF8FB    008B 40308078   ADD BYTE PTR DS:[EBX+78803040],CL
778DF901    0200            ADD AL,BYTE PTR DS:[EAX]
778DF903    75 09           JNZ SHORT ntdll.778DF90E
778DF905    F605 D402FE7F 0>TEST BYTE PTR DS:[7FFE02D4],2
778DF90C    74 28           JE SHORT ntdll.778DF936
778DF90E    64:A1 18000000  MOV EAX,DWORD PTR FS:[18]
778DF914    F680 CA0F0000 2>TEST BYTE PTR DS:[EAX+FCA],20
778DF91B    75 19           JNZ SHORT ntdll.778DF936
778DF91D    8365 FC 00      AND DWORD PTR SS:[EBP-4],0
778DF921    E8 E606F7FF     CALL ntdll.DbgBreakPoint                                     //此处调用了 ntdll.DbgBreakPoint
778DF926    EB 07           JMP SHORT ntdll.778DF92F
778DF928    33C0            XOR EAX,EAX
778DF92A    40              INC EAX
778DF92B    C3              RETN



从此段代码可以看出“ DbgUiRemoteBreakin , 是执行DbgBreakPoint前的一个调用”


原API
地址       十六进制       反汇编                               
---------------------------------------------------------------
778FF8EA   6A 08          PUSH 8                               
778FF8EC   68 60BA8877    PUSH 7788BA60                        
778FF8F1   E8 EEE5F8FF    CALL 7788DEE4                        

HOOK 后API
地址       十六进制       反汇编                               
---------------------------------------------------------------

778DF8EA >^\E9 D2DCFAFF     JMP ntdll.LdrShutdownProcess
778DF8EF    8677 E8         XCHG BYTE PTR DS:[EDI-18],DH
778DF8F2    EE              OUT DX,AL
778DF8F3    E5 F8           IN EAX,0F8
778DF8F5    FF64A1 18       JMP DWORD PTR DS:[ECX+18]


DbgUiRemoteBreakin 是ntdll提供的用于在目标进程中创建远线程下软件断点的函数
伪代码如下:
  1. DWORDWINAPI DbgUiRemoteBreakin( LPVOID lpParameter)
  2. {
  3.    __try
  4. {
  5.        if(NtCurrentPeb->BeingDebugged)
  6.            DbgBreakPoint();
  7. }
  8. __except(EXCEPTION_EXECUTE_HANDLER)
  9. {
  10.        Return 1;
  11. }
  12.   RtlExitUserThread(0);
  13. }
复制代码
当我们用OD调试时,CreateRemoteThread函数在目标程序中创建 DbgUiRemoteBreakin线程的时候,是下了INT 3软中断。
因为是在调试状态, 所以调试器可以捕获这个异常。如果目标程序没有被调试的话,程序就会正常执行。

总结:
通过对比我们就可以看出游戏HOOK的手法
这样我们就可以为我们恢复R3层inline hook做了很好的铺垫

如果我们用工具恢复R3层Hook的话 马上就会被恢复,这个原因就在于有线程的检测。

之后就不太理解了!!查阅资料说
至于哪个线程是干什么的  我们应该用工具去挂起线程来测试测试,找出哪个才是检测的线程,


在尝试了很多次 后也没找到太好的方法 (线程太多 )希望懂的大牛们 能讲讲具体的原理,最好带个例子

本人在此先行感谢!
VB 远程注入/卸载/自我删除(RtlCreateUserThread)
chenhui530的专栏
10-21 7539
 最近才发现的“RtlCreateUserThread”(下步调用ZwCreateThread)这可是个好东西,可以创建远程线程,也可以用来写多线程程序,但是在VB里好像还是不是很稳定只能用API。 这篇文章给大家一种不同于(CreateRemoteThread)但是原理是一样(都是通过ZwCreateThread创建线程)创建远程线程,实现注入和卸载功能。对于一些编写外挂,或者对Shel
查找kernel32.dll 基地址 stack
x
08-10 493
从[esp]获取kernel32中call 指令push的返回地址, 即应用程序返回后的地址 rtlexituserthread , 有些是exitthread. 拿到这个地址就拿到了kernel32空间的某个值, 模块地址64k对齐,去掉低2个字节来对齐. 然后依次减64k寻找 .386 .model flat, stdcall option casemap:none include windows.inc include user32.inc includelib user...
移动端前端适配-视口viewport
最新发布
qq_40429498的博客
09-11 658
移动端视口适配解析 本文系统介绍了移动端开发中的视口概念及应用。移动端开发主要分为原生App、小程序和Web页面三类。视口分为三种: 布局视口:HTML元素的父容器,默认980px,可通过meta标签调整 视觉视口:用户直观看到的区域,会随设备缩放而变化 理想视口:布局视口与视觉视口一致的状态 关键点: 移动端默认布局视口会等比缩放以适应设备尺寸 通过<meta name="viewport">可设置视口与设备等宽 视觉视口大小决定页面最终显示效果 理想视口是开发时追求的最佳
RtlCreateUserThread创建用户线程
Rprop
02-19 5292
HANDLE WINAPI RLIBCreateThread(HANDLE hProcess, SECURITY_ATTRIBUTES *sa, SIZE_T stack, LPTHREAD_START_ROUTINE start, LPVOID param, DWORD flags, LPDWORD id ) { HANDLE handle; CLIENT_ID client_id; NT
r3反调试
liuhaidon1992的博客
01-08 2373
R3反调试方法非常多,且充斥着各种猥琐的方法。 1.调用API反调试 IsDebuggerPresent:它查询PEB中的IsDebugged标志 CheckRemoteDebuggerPresent:这个函数将一个进程句柄作为参数,检查这个句柄对应的进程是否被调试器附加 NtQueryInfomationProcess:它用来提取一个给定进程的信息。第一个参数是进程的句柄,第二个参数告诉我们它...
游戏反调试
墨鱼菜鸡
09-09 807
最近比较无聊,有朋友就喊我去玩玩打枪的小游戏,然后由于我怕麻烦所以把游戏安装到虚拟机中了,然后我虚拟机开了双机调试器,其实是由于我比较懒不想关双机调试,导致游戏弹出窗口要求我关闭调试器。 小样,你叫我关就关岂不是很没有面子,然后我做了下面的事情。 首先看是不是检测了SharedUserData->KdDebuggerEnabled 这里手动在...
大神修改版OD,反反调试,过驱动保护.zip
09-12
自带驱动级的反反调试插件 反反调试,过数字签名校验,过虚拟机检测,,过PG,隐藏PEB(R3),隐藏进程,保护进程,伪装调试器,伪装父进程
易语言R3调试清零
07-21
易语言R3调试清零源码,R3调试清零,ReadDeBugPort,WriteDeBugPort,GetApiAddress,GetCurrentProcessId,GetTextAddr,GetByteAddr,GetEProcess,GetDeBugPortoffet,StrToInt64ExA,ZwQuerySystemInformation,...
Kernel-Anit-Anit-Debug-Plugins:内核Anit Anit调试插件内核反反调试插件
03-08
内核反反调试插件内核Anit-Anit-Debug插件 语言 英文(翻译自 ) 调试开始时,将创建一个称为“调试对象”的内核对象。 调试开始时,将创建一个称为“调试对象”的内核对象 通过重写 NtDebugActiveProcess ...
插件 ScyllaHide反反调试插件
03-16
因为有些OD过不了一些反调试 就说下这...几乎可以过掉R3反调试 不过VMP3.12还需要自己配置 因为是新的反调试 当然是不能过掉Xjun的XAntiDebug 这个需要底hook 可以自行写个驱动什么的 最后附上ScyllaHide插件
eac 反调试_一种可能被用于EAC保护的检测调试器方案
weixin_39727976的博客
12-19 2647
测试环境:Windows7 x64 虚拟机 win10 1809 x64 虚拟机0x0起因小伙伴 @DBDig 最近也在玩APEX这个游戏,因为这个游戏有EAC保护所以有反调试,遂准备安排它。R3降权pass以后,下断没反应还又卡死又崩溃的。于是他自写了一个exe来模拟调试器的行为,万万没想到,EAC竟然对我们的exe做了这种事!他居然hook了我们的 WaitForDebugEvent这个函数...
GalaxyAP过游戏反调试框架
11-23
工程说明: 1.GalaxyAP 应用程序 2。HookPortBypass 重加载内核(包括nt和win32k) 3。TEST_KIDISPAT 自分发异常(朋友帮忙实现了部分,代码主要来源WRK) ps:hookport代码抄网上的,来源http://www.m5home.com/bbs/forum.php 这套GalaxyAP工程主要实现了: 1。重加载内核(借助 hookport思路配合peloader) 2.自实现异常分发的几个主要函数 3。自创建debugobject,使用另一个object 3。也使用了另一个fastmute 4。自己发现吧。。。 PS:驱动的加载有时候在游戏前好使有时候在启动游戏后好使 PPS:这货也只能在XP上跑了 实现了HOOK框架,只需要按下面填写即可 ////////////////////////////////////////////// //这是为了HOOK原来的ntos,转到新的os中 VOID (WINAPI *DUMMYFUCK )(IN PVOID Object); // VOID (WINAPI *PspUserThreadStartup )(IN PVOID Object); // VOID (WINAPI *PspSystemThreadStartup )(IN PVOID Object);
反调试 - r3 使用 NtQuerySystemInformation 获取 KdKdDebuggerEnable 和 KdDebuggerNotPresent
LYSM
07-14 1502
原理 NtQuerySystemInformation 被 ntdll.dll 导出,当第一个参数传入 0x23 (SystemInterruptInformation) 时,会返回一个 SYSTEM_KERNEL_DEBUGGER_INFORMATION 结构,里面的成员KdKdDebuggerEnable 和 KdDebuggerNotPresent 标志系统是否启用内核调试。 代码示例 // Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 //
游戏或代码增加反调试功能(应用级)
weixin_44389943的博客
02-27 888
前言: 感谢:易道云学院 tiger老师指导: 调试分为:打开一个调试进程和调试一个现有的进程。 DebugByCreate为真时调用CreateProcess()函数打开一个调试进程,当DebugByCreate为假时调用DebugActiveProcess(dwPID)函数调试一个现有的程序。 一、调用CreateProcess()函数打开一个调试进程: 调用CreateProcess()函数实际底调用: 二、调用DebugActiveProcess(dwPID)函数调试一个现有的程序
游戏反调试技术研究
11-09 3652
现在的网络游戏,几乎就没有不对外挂深恶痛绝的,对应而生的就是众多的反调试技术,根据我对多个游戏的研究,发现现在的游戏反调试技术无外乎以下几种方式.(当然,游戏游戏本生无反调试代码,但是游戏加了壳,壳中有反调试机制)我在这里就把这些方法列出来,同时尽量给出解决方案,欢迎大家探讨.1.  通过调用API BOOL IsDebuggerPresent(VOID)来检测程序是否是处于调试状态.pus
48.网游逆向分析与插件开发-游戏反调试功能的实现-项目需求与需求拆解
计算机王的博客
12-22 907
网络游戏逆向、网络游戏安全、网络游戏攻防、c++
51.网游逆向分析与插件开发-游戏反调试功能的实现-设置主线程为隐藏调试破坏调试通道
计算机王的博客
12-25 1576
网络游戏逆向、网络游戏安全、网络游戏攻防、c++
49.网游逆向分析与插件开发-游戏反调试功能的实现-软件调试器设计的基本原理
计算机王的博客
12-23 1508
网络游戏逆向、网络游戏安全、网络游戏攻防、c++
游戏逆向】常用反调试技术集合
douluo998的博客
03-05 832
Input: //输入参数的说明,包括每个参数的作用、取值说明及参数间关系。*Input: //输入参数的说明,包括每个参数的作用、取值说明及参数间关系。*Input: //输入参数的说明,包括每个参数的作用、取值说明及参数间关系。
易语言R3版本调试清零功能的源码实现
资源摘要信息:"易语言源码易语言R3调试清零源码" 易语言是一种面向中文用户的编程语言,它以中文作为编程关键字,使得中文用户可以更加方便地进行编程。易语言R3是易语言的一种版本。调试清零源码是针对易语言R3...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值