天堂W的Npsc64.des的反调试hook简单分析(一)

最新推荐文章于 2024-07-11 13:30:38 发布
最新推荐文章于 2024-07-11 13:30:38 发布
阅读量155 收藏
点赞数 2
文章标签: c++ 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jian274622701/article/details/139020998
版权

扫描完毕,钩子/代码修改: 21

   

挂钩位置                                        钩子类型        当前函数地址                                        挂钩处当前值        挂钩处原始值                当前函数地址所在模块        
libcef.dll: _imp_GetFontData[gdi32.dll]        iat            0x00007FFF25344E40 -> 0x00007FFEFD9B2694                                                D:\LineageW\Engine\Binaries\ThirdParty\CEF3\Win64\libcef.dll        
ntdll.dll: NtGetContextThread (len:1)        inline        0x00007FFF2706CBB0 -> -                            CC                 4C                         // cc是int3,不是真正的hook, 是我们下的断点
ntdll.dll: DbgBreakPoint (len:1)            inline        0x00007FFF2706E880 -> -                            C3                 CC                 
ntdll.dll: DbgUiRemoteBreakin (len:5)        inline        0x00007FFF2709BA10 -> 0x00007FFF27033BA0        E9 8B 81 F9 FF         48 83 EC 28 65         C:\Windows\SYSTEM32\ntdll.dll        
user32.dll: RegisterClassExW (len:7)        inline        0x00007FFF261E72C0 -> 0x00007FFEE61D0478        E9 B3 91 FE BF CC CC         48 83 EC 38 83 39 50                 
user32.dll: CreateWindowExW (len:10)        inline        0x00007FFF261E7720 -> 0x00007FFEE61D0178        E9 53 8A FE BF CC CC CC CC CC         4C 8B DC 48 81 EC 88 00 00 00                 
user32.dll: SetWindowLongW (len:8)            inline        0x00007FFF261F09F0 -> 0x00007FFEE61D0418        E9 23 FA FD BF CC CC CC         45 33 C9 E9 08 00 00 00 // 有可能防止替换窗口消息分发函数
user32.dll: AdjustWindowRectEx (len:5)        inline        0x00007FFF261F60B0 -> 0x00007FFEE61D0358        E9 A3 A2 FD BF         48 89 5C 24 08                 
user32.dll: GetCursorPos (len:5)            inline        0x00007FFF262077C0 -> 0x00007FFEE3090418        E9 53 8C E8 BC         BA 01 00 00 00                 
user32.dll: SetCursor (len:7)                inline        0x00007FFF2620ABA0 -> 0x00007FFEE61D02F8        E9 53 57 FC BF CC CC         48 FF 25 21 84 06 00                 
user32.dll: SetWindowLongA (len:6)            inline        0x00007FFF2620C240 -> 0x00007FFEE61D03B8        E9 73 41 FC BF CC         41 B9 01 00 00 00             // 有可能防止替换窗口消息分发函数    
win32u.dll: NtUserSetWindowPos (len:8)        inline        0x00007FFF248214B0 -> 0x00007FFEE61D0298        E9 E3 ED 9A C1 CC CC CC         4C 8B D1 B8 24 10 00 00                 
win32u.dll: NtUserShowWindow (len:8)        inline        0x00007FFF24821B10 -> 0x00007FFEE61D01D8        E9 C3 E6 9A C1 CC CC CC         4C 8B D1 B8 57 10 00 00                 
win32u.dll: NtUserDestroyWindow (len:8)        inline        0x00007FFF24822370 -> 0x00007FFEE61D0238        E9 C3 DE 9A C1 CC CC CC         4C 8B D1 B8 9A 10 00 00                 
dxgi.dll+0x0000000000004F80 (len:5)            inline        0x00007FFF230A4F80 -> 0x00007FFEE3090178        E9 F3 B1 FE BF         48 89 5C 24 10                 
aticfx64_loader.dll                            inline        模块已经被更改或替换, 请重启电脑后再试                                
audioses.dll+0x000000000000F500 (len:5)        inline        0x00007FFF093DF500 -> 0x00007FFEE30902F8        E9 F3 0D CB D9         40 55 53 56 57                 
audioses.dll+0x00000000000103C0 (len:5)        inline        0x00007FFF093E03C0 -> 0x00007FFEE3090358        E9 93 FF CA D9         40 55 53 56 57                 
audioses.dll+0x00000000000107B0 (len:7)        inline        0x00007FFF093E07B0 -> 0x00007FFEE30903B8        E9 03 FC CA D9 CC CC         48 8B C4 48 89 58 10                 
audioses.dll+0x00000000000112C0 (len:5)        inline        0x00007FFF093E12C0 -> 0x00007FFEE3090298        E9 D3 EF CA D9         48 89 5C 24 20                 
audioses.dll+0x000000000001F320 (len:5)        inline        0x00007FFF093EF320 -> 0x00007FFEE30901D8        E9 B3 0E CA D9         40 53 55 56 57                 
audioses.dll+0x000000000001F5D0 (len:5)        inline        0x00007FFF093EF5D0 -> 0x00007FFEE3090238        E9 63 0C CA D9         48 89 5C 24 18              


1. GameMon.des和GameMon64.des 暂停进程会屋驱动检测到环境异常
2. npggNT64.des 禁止加载即可处理大部分ring3层hook, 而反调试是在 GameMonXX.des 里面
3. 待处理 SetUnhandledExceptionFilter() 和 AddVectoredExceptionHandler() 设置异常函数
4 如果出现 The UE4 crash will... 这种一般是在调试调用频繁非常高的函数的情况下导致数组错误,这种使用CE来调试或者断点调试即可,这种问题不是反调试导致的。

逆向安全收徒中...

bigcat201
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
过游戏保护NP或TP的几种方法和思路
weixin_34009794的博客
07-05 9845
以前有很多这方面的文章,但是大多涉及hook和汇编,新手门都是看了等于没看,还不如不看.但是本人通过实践,感觉就算是新手,只要善于组合使用一些现成的工具,依然可以达到目的. 先说下最新版本的np,虽然一些老的办法会被检测出来,但是基本原理是没有变化的,每次np更新,就像防毒软件更新病毒库一样,不一定是要抓住了你的程序才可以检测出来,任何类似的变种都可以检测出来的.所以可能你的程序从来没发布过,但...
管螺纹如何标注_螺纹知识,这一次搞全了!
weixin_39927508的博客
12-12 2221
一、螺纹种类按牙型可分为三角形、梯形、矩形、锯齿形和圆弧螺纹;按螺纹旋向可分为左旋和右旋;按螺旋线条数可分为单线和多线;按螺纹母体形状分为圆柱和圆锥等。二、螺纹的要素螺纹包括五个要素:牙型、公称直径、线数、螺距(或导程)、旋向。1. 牙型在通过螺纹轴线的剖面区域上,螺纹的轮廓形状称为牙型。有三角形、梯形、锯齿形、圆弧和矩形等牙型。螺纹的牙型比较:2. 直径螺纹有大径(d、D)、中径(d2、D2)、...
nProtect GameGuard(簡稱GameGuard或GG,其驅動程序為GameMon.des)是由韓國INCA互聯網開發的遊戲作弊軟體。
weixin_40191861的博客
11-13 942
nProtect GameGuard nProtect GameGuard(簡稱GameGuard或GG,其驅動程序為GameMon.des)是由韓國INCA互聯網開發的遊戲作弊軟體。隨著網絡遊戲的興起,愈來愈多人利用外掛從中作弊,這促使GameGuard等作弊軟體的誕生。GameGuard開發完成後,很快就被日本及韓國網絡遊戲商引入。隨後開設「網絡遊戲用戶通報中心」,傳送不正當或作弊之訊息。 nProtect GameGuard 預設的nProtect GameGuard起始圖片
取消Irp引起蓝屏(BugCheck:0x18)
lixiangminghate的专栏
02-22 2350
昨天写一个简单的驱动,驱动的write例程会将IRP挂起放进自定义的队列中,然后在另一个线程中取消这些挂起的IRP: NTSTATUS SampleCharWriteAsync(PDEVICE_OBJECT devObj, PIRP irp) { KIRQL oldIrql; SampleCharDevContext* devCtx = (SampleCharDevContext*)devO
天堂W游戏内核驱动保护简单分析(五)
jian274622701的博客
05-18 508
首先将 KdDebuggerEnabled + 0x10 处的值设置为1, 然后把系统所有访问 KdDebuggerEnabled 的地方全部改为 KdDebuggerEnabled + 0x10, 启动游戏断下的就是游戏的驱动在访问了.注意其中有几处mov指令的是保存 KdDebuggerEnabled指针的指针,只需要交里面的指针 + 0x10即可,而不是修改机器码。KiDebugRoutine = KdpStub 则不可调试, 可调试的是kdpTrap (双机调试 ) 待测试。
逆向NP之注入npggNT.des
晓斌的博客
05-11 2187
标 题: 逆向NP之注入npggNT.des作 者: 堕落天才时 间: 2007-02-01,21:41链 接: http://bbs.pediy.com/showthread.php?threadid=38939NP=nProtect GameGuard************************************************************************
天堂W的Npsc64.des调试hook简单分析(二)
jian274622701的博客
05-18 759
/ 经测试,该函数有调用,但是真正断点异常时没有调用这里。// 如果要在内核层处理的话可以考虑下面的原理,但是内核层处理起来相当的麻烦,而且不容易拿到用户的回调地址, 估计只能解密异常链表去摘除。// 经过本地调试,这里确实调用了,并返回1, 就是 EXCEPTION_EXECUTE_HANDLER。// 异常分发函数, 经测试异常断点异常不执行该函数。
Maven构建项目报:Cannot resolve com.xxx.xxx:xxx:1.0.0-SNAPSHOT
hkl_Forever的博客
04-02 8333
1、使用maven构建项目,无论是重新加载maven还是 install、package、deploy 控制台都会报:Cannot resolve com.jkmic.parent:framework-core:1.0.2-SNAPSHOT。2、当前项目如果依赖其他项目服务依赖包,经常会出现其他项目已经打包并且 deploy 到maven仓库中了,但是无论当前项目怎么刷新maven依然无法拉取到最新的依赖快照包。
NPSC.rar_risk
09-23
压缩包中的"NPSC"文件可能包含了具体的数据分析、模型构建和实证结果,比如不同UI情景下的模拟结果、利润-风险曲线,以及不同策略对风险和利润的影响。这些内容对于理解UI机制如何影响印度市场的实际操作具有重要的...
NPSC.rar_alive1j8_进程与线程
09-21
《进程与线程:深入理解DRAGEDIT控件在VC++60中的应用》 在计算机科学中,进程和线程...在实际开发中,结合适当的调试工具,如Visual Studio的调试器,可以帮助我们更好地理解和解决问题,提高软件开发的效率和质量。
matlab非参数代码-NPSC:用于在线流分类的Matlab软件库
06-08
matlab非参数代码NPSC:Matlab 在线贝叶斯非参数流分类包 NPSC 是一个用于在线流分类的 Matlab 软件库。 它旨在为具有非平稳生成过程的流数据分类提供灵活的通用非参数模型的建模、学习和推理,以捕获在社交网络、...
matlab非参数代码-hopgd:一种强大的降维方法
06-08
类似,它可用于将多维数组压缩为多个简单向量。 但不同的是,它自动确定给定近似精度所需的向量数量。 除了数据压缩之外,HOPGD 还可用于降阶代理建模、模型校准和优化、不确定性量化以及复杂系统的实时仿真。 该...
five_level_inverter.rar_CMLI_5level_harmonics inverter
07-15
标题中的“five_level_inverter.rar_CMLI_5level_harmonics inverter”表明了这是一个关于五电平电流源逆变器(Current Mode Logic Inverter,CMLI)的资料,重点在于其谐波特性。描述中的“harmonics of five level...
计算机相关会议排名(一)
weixin_30885111的博客
09-01 608
计算机相关会议排名(一) 计算机相关会议排名(二) Acronym Standard Name Rank AAAI National Conference of the American Association for Artificial Intelligence A+ AAMAS International Conference on ...
C++ 多态
wxk2227814847的博客
07-10 563
多态是C++语言的三大特性之一,另两个特性是封装和继承。多态性使得对象可以根据运行时的实际类型来表现出不同的行为,从而实现灵活和可扩展的设计。在软件开发过程中,多态能够提高代码的复用性和可维护性,减少重复代码,并提供更加抽象和通用的接口。本文将详细探讨C++中的多态,包括其定义、构成、虚函数、抽象类以及实现原理,帮助读者全面理解这一重要概念。
python-torch加载c++与内核函数
最新发布
weixin_40777649的博客
07-11 233
python 在线加载.cu 文件python 加载.cu 文件方式2二、实现python 在线加载.cu 文件python 加载c++ 方法采用的是torch.utils.cpp_extension包的扩展方法。直接加载cu文件,则采用torch.utils.cpp_extension.load() 方法。"fused",sources=[],具体: fused_bias_act.cpp//scalar_t y;
鸿蒙开发:Universal Keystore Kit(密钥管理服务)【明文导入密钥(C/C++)】
m0_70748845的博客
07-07 425
以明文导入ECC密钥为例。具体的场景介绍及支持的算法规格。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值