在调试这个平台的CS过程中,我们用CE对任意一个地址下断点会导致游戏的闪退。
首先我们第一时间想到的是游戏对有关下断的API进行了HOOK,于是用PChunte工具查看后发现有110个钩子
在其中我们可以看到DbgUiRemoteBreakin这个函数被挂钩了,DbgUiRemoteBreakin这个函数内部会调用DbgBreakPoint执行断点指令,以触发断点异常,强制把程序断了下来。
我们用CE查看这个函数的头部,发现他跳转到了游戏检测模块的地址
来到这个后我们发现他调用了ExitProcess就退出了进程。
我们尝试恢复这个钩子。恢复后发现游戏立即退出了,那么说明肯定有线程在检测这个钩子,我们一恢复就被检测到了,并且检测的周期很短。
通过枚举法挨个结束检测模块的线程,最后发现
结束掉这个线程后再恢复钩子游戏就不会闪退,但是一段时间后就出现如下信息框。
这样一来简单的结束线程这个方法就行不通了,那么思考下有没有别的方法能够绕过检测,由于这个游戏的他HOOK了很多API,而这些API的地址都是不连续的,他要检测其中的一个地址,不可能每次检测都获取一下,所以这些挂钩的地址很可能保存在某个全局变量中,基于这点我们尝试搜索DbgUiRemoteBreakin的地址,搜索到了一个地址
我们找个空白地址,因为他只修改了函数头部的前7个字节,所以检测时也应该是检测这个7个字节,我们把他修改后的这个7个字节写入空白地址,然后将我们搜索到的地址的值替换成空白地址。
这时候再恢复钩子游戏就不会闪退了,因为我们已经让他检测了我们伪造的地址。
其实绕过调试检测的方法还有很多,由于它开始必须要获取这个函数的地址,我们可以HOOK获取函数地址的相关API,返回0或者返回一个伪造的地址。
针对这个游戏而言,最后调用ExitProcess函数退出进程,但是他并没有这个函数进行检测,我们也可以HOOK ExitProces 恢复下堆栈和原函数头部的几个字节在跳回原函数从而绕过检测。
09-10
12-01
1160
1160
08-20
1371
1371
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
