逆向TesSafe.sys

最新推荐文章于 2024-08-26 09:27:33 发布
最新推荐文章于 2024-08-26 09:27:33 发布
阅读量3.2k 收藏 4
点赞数
分类专栏: 病毒汇编和调试逆向技术加脱壳 文章标签: object null string c 汇编 hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2829274
版权
本文详细介绍了如何逆向分析 TesSafe.sys 驱动程序,包括其关键函数、数据结构和防调试技巧。通过IDA查看,发现驱动中存在一些花指令和异或操作,用于防止动态调试。驱动主要功能包括设备创建、符号链接建立、I/O控制处理以及进程创建通知。此外,还揭示了如何挂钩系统函数并进行权限检查。
摘要由CSDN通过智能技术生成
//------------------------------[IDA] => TesSafe.sys --------------------------------------//
// File MD5: E780032179272AFD93BCF4A9A67C7706
// Version: 0.0.6.5
//-----------------------------------------------------------------------------------------//
// 定义

extern "C"
{
   #include <ntddk.h>
}

DWORD dword_14288 = 0xBB40E64E;    // 这个变量有初值
DWORD dword_142C4 = 0;
DWORD dword_14050 = 5;
DWORD dword_1431C = 0; // 这个四字节变量保存一个指向PsGetProcessImageFileName的指针
DWORD dword_14338 = 0;
PKEVENT unk_143C0 = NULL;
KSPIN_LOCK SpinLock = 0; // 实际上是DWORD
PVOID unk_14328 = NULL;
PVOID unk_142B4 = NULL;
PVOID unk_143E0 = NULL;
PVOID BaseAddress = NULL;

// 其实内核函数默认调用方法就是stdcall,下面的_stdcall都是不用加的。
// 不过为了说明,还是都加上了。

VOID _stdcall proc_1121F();    // 防止动态调试
VOID _stdcall sub_11000(PVOID, DWORD, DWORD);
VOID _stdcall sub_118D0();
VOID _stdcall sub_1230C();    // 实现挂钩

// 下面的函数就是int __stdcall sub_112DA(HANDLE ProcessHandle, int, int, int, int)
NTSTATUS _stdcall Hook_ObOpenObjectByPointer(PVOID Object,ULONG HandleAttributes, PACCESS_STATE PassedAccessState, ACCESS_MASK DesiredAccess,    
  POBJECT_TYPE ObjectType, KPROCESSOR_MODE AccessMode, PHANDLE Handle);
VOID __stdcall NotifyRoutine(HANDLE ParentId, HANDLE ProcessId, BOOLEAN Create);

NTSTATUS _stdcall sub_11E48(DWORD, PVOID, PVOID);
NTSTATUS _stdcall DispatchIoctl(PDEVICE_OBJECT pDevObj, PIRP pIrp);
VOID _stdcall DriverUnload(PDRIVER_OBJECT pDrvObj);

// 实现

extern "C" NTSTATUS _stdcall DriverEntry(PDRIVER_OBJECT pDrvObj, PUNICODE_STRING puRegistryString)
{
   // 实际上这个为入口点,不过为了方便就写在了一起
   if(dword_14288 != 0 && dword_14288 == 0xBB40E64E) // 十进制3141592654,晕倒。如果下面的异或操作已经执行过奇数次,那么这两个值不等
   {
       // 不过实际上由于 dword_14288 != 0的判断,不可以执行奇数次
       dword_14288 = *(DWORD*)KeTickCount ^ dword_14288; // 与那个大PI异或
   }
   // 这里有一个长跳转,可能做过手脚
// jmp to text.12996,开始进入正事
   // 定义变量
   // sub esp,14H
   // 由后面的反汇编我们可以知道定义了些什么

   UNICODE_STRING SymbolicLinkName;
   UNICODE_STRING DestinationString;
   PDEVICE_OBJECT DeviceObject = NULL;
  
最低0.47元/天 解锁文章
iiprogram
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
浅谈逆向——32位逆向分析技术(1.函数)
qq_38684512的博客
01-30 773
浅谈逆向-32位逆向分析技术启动函数函数 启动函数 编写Win32应用程序时,必须在源码中实现一个WinMain函数,但windows执行并不是从WinMain开始的,首先被执行的是启动函数的相关代码,这段代码是由编译器生成的,在启动代码初始化进程完成后,才会调用WinMain函数。 对VC++程序来说,调用了C/C++运行时的启动函数,对运行库进行初始化,C/C++程序运行,启动函数作用基本相同...
TesSafe反WinDbg双机调试
cqyczj的专栏
06-09 1253
貌似论坛里面有关游戏的贴子都很火,所以发篇帖子涨点人气。 正文: 在论坛搜索了下发现去年的时候有人发过一篇过TesSafe反双机调试的帖子,但是现在已经过时了,并且帖子里面也没提到怎么处理被IAT HOOK的两个函数。在这里呢,我就给大家彻底的讲明白吧。 先开ARK工具看看游戏干了什么。 从图片可以看到游戏启动的时候对ntkrnlmp.exe中的kdcom.KdSe
第一个游戏外挂,附上详细制作过程
mysouling的专栏
03-13 8420
本教程分为几大部分 一、  先创建外挂对话框,定义外挂所需要的基本功能 二、  找出棋盘数组的地址,读出棋盘数据 三、  编写实现消去棋子的代码框架 四、  实现消去棋子功能 五、  修补与完善外挂 一、  先创建外挂对话框,定义外挂所需要的基本功能 1.   创建对话框:   创建一个MFC工程对话框 打开VC++软件  选择¬¬------>(File)文件--
dnf防封 不知行不行 网上见的
TMDBug
04-03 2033
没有下载防封处理文件怎么办? 网络中断后怕封号的。首先找到DNF主目录 之后 步骤1:  找DNF.exe(大小22MB) 右键属性
英雄联盟提示tersafe.dll已损坏怎么办?英雄联盟提示tersafe.dll已损坏快速修复方法介绍
onecdll的博客
03-28 596
英雄联盟tersafe.dll是一个帮助lol完结解决游戏时提示tersafe.dll损坏的dll文件,但是有玩家在玩这个游戏的时候提示:tersafe.dll已损坏,该怎么解决呢?下面一起来看看吧!
TesSafe[1].sys ASM原码
03-25
TesSafe[1].sys ASM原码
TPdisabledebugger.zip_tp双机调试_双机调试_过tp_过tp保护驱动_过保护.sys
07-14
过TP驱动保护之禁止双机调试源码,修改Fuckdisabledebugger函数与TesSafe.sys
恢复TesSafe.sysHOOK掉的函数
01-31
恢复TesSafe.sysHOOK掉的函数,源代码
0D反汇编分析
03-20
很好用的0D大家可以下载试试
相当完整反汇编以及OD及CE的学习资料~
07-16
相当完整反汇编以及OD及CE的学习资料
tersafe.dll文件损坏怎么修复?修复指南分享
最新发布
L12meng的博客
08-26 426
在日常使用计算机过程中,偶尔会遇到系统文件损坏的问题,如tersafe.dll文件损坏,这可能会影响某些程序的正常运行。幸运的是,修复这一问题通常较为直接,以下是一份详细的修复步骤指南,帮助您解决tersafe.dll文件损坏的问题。当您收到类似于“tersafe.dll找不到”或“tersafe.dll错误”的提示时,首先确认该问题是否确实由tersafe.dll文件损坏引起。之后,尝试重新运行之前报告tersafe.dll错误的程序,检查问题是否已经解决。重启计算机,以使更改生效。
威胁手游安全,这些知识点你要了解看看!
程序IT圈
04-14 1385
点击上方蓝字关注我背景手游客户端的发展往往会吸引一批想从游戏中获利以及爱好逆向分析研究员的关注,因此手游的安全攻守之道就产生了。那么这些威胁对象的存在,给手游客户端的安全带来很大程度上的影...
libtersafe文件下载_tersafe.dll官方版下载
weixin_36354817的博客
12-31 1050
系统的文件那可真的是缺一不可,就比如tersafe.dll文件如果缺失的话,很有可能会造成你的一些大型网络游戏,甚至是一些常用软件打不开的情况,这个时候你要做的当然不是去更换主机了,而是来旋风软件园下载它就可以了!tersafe.dll文件官方介绍tersafe.dll是存放在Windows系统中的一个非常重要dll文件,缺少它就会造成部分软件或游戏不能正常运行。当用户的电脑弹出提示“无法找到te...
最新绕过TX驱动保护TesSafe.sys方法
ccx_john的专栏
01-07 4196
前段时间看过 wanleidawa 兄弟发的帖子 【原创】搞定QQ游戏系列(寻仙,DNF等等)驱动保护TesSafe.sys,给我启发很大。 不过很多人可能对上面的内容不太能理解。我先简单说下他那里的意识,然后在描述下新的方法,来饶过现在的保护。 大家可以使用 反ROOTKIT程序22中文\Yas 来查看被HOOK的函数。这里还要插入一个小话题,就是关于驱动开发环境的搭建,当初也郁闷了我将近一
手游安全威胁浅析
哆啦安全
04-26 2970
背景 手游客户端的发展往往会吸引一批想从游戏中获利以及爱好逆向分析研究员的关注,因此手游的安全攻守之道就产生了。那么这些威胁对象的存在,给手游客户端的安全带来很大程度上的影响,所带来影响的结果就是:游戏中出现各种外挂脚本,游戏客户端破解版,打金工作室泛滥等等各种作弊行为的出现,最终导致手游客户端的平衡性被破坏,玩家流失,最终导致手游收入的降低。 接下来我们分析威胁手游客户端安全的对象有哪些??? 运行环境的威胁 模拟器 主流模拟器:夜神模拟器,雷电模拟器,mumu模拟器,逍遥模拟器,蓝叠模..
Rootkit Unhooker驱动逆向分析
07-25 1588
 这个驱动本来准备端午节搞的,但后来端午节去了躺北京玩了几天,也就搁置了...最近连续花了4个晚上,大致把它搞的差不多了,有些收获...初学 window驱动,水平很菜,有些东西我也未必清明,加上3环的代码还没有吃透,期间也没有用调试器跟踪,全是IDA(F5)静态分析的,谬误在所难免, 高手请飘过,希望对菜鸟学习有点帮助.1.SSDT检测这个功能有三个IoControlCode与之对应,他们分别是
LOL过检测技術
热门推荐
weixin_40267435的博客
02-13 2万+
1.稳定注入姿势 2.处理TenRpcs检测CLL 3.处理TCJ 4.探测GameRpcs 笔者最近迷上LOL,中低分段总是有脚本,被虐的很惨 然后笔者去市场上买来几款外挂,配合防封,然后小逆了一下,发现市场上的防封软件大多是通对游戏 LoadLibraryExW 挂钩子,让某些检测模块不加载,在这种情况下,阻断了通讯,这样可以稳定的玩游戏5局左右,之后就会封7天或者三年,如果处理了TenRpc...
TesSafe.sys过驱动保护技术:读写内存与硬件断点
本文档主要讨论了如何使用 TesSafe.sys 进行过驱动保护,以及在过保护后如何实现读写内存和附加硬件断点,适用于计算机科学(CS)领域的学习者,特别是对游戏外挂制作技术感兴趣的人员。 在计算机安全和逆向工程的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值