天堂W游戏内核驱动保护简单分析(一)

最新推荐文章于 2024-07-11 17:36:21 发布
最新推荐文章于 2024-07-11 17:36:21 发布
阅读量501 收藏 18
点赞数 5
文章标签: 游戏 安全 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jian274622701/article/details/139021603
版权

进程检测的方式

    1. 进程隐藏 NTOpenProcess(本质就是枚举句柄表)(可能性不大)
    2. NTQuerySystemInformation(SystemHandleInformation)(本质就是枚举句柄表)(可能性偏大)
    2. NTQuerySystemInformation(SystemProcessesAndTHreadsInformation)(本质就是枚举进程双向链表)(可能性很大)
    3. GetWindowThreadPreocessId(可能性一般)
    4. EnumWindows得到进入ID(可能性一般)
    5. PspCidTable内核未导出的句柄表, 保存所有进程和线程的对象, 可以枚举隐藏进程(本质就是枚举句柄表)(可能性很小, 结构偏移不通用)
    6. Csrss进程中的句柄表, 保存着所有的进程列表(本质就是枚举句柄表)(可能性很小, 结构偏移不通用)
    7. 暴力搜索内核空间得到Eprocess, 内核开始地址0x80000000, 对比指针是否是PsProcessType(可能性很小, 结构偏移不通用)
    8. 创建进程回调PsSetCreateProcessNotifyRoutine(可能性不大,如果先运行od, 则不会被检测到)

    隐藏进程一种是断链,还有很多其他的方法:
        1. 从双向链表中摘除, 取得进程结构指针,将上一个节点指向中下一个节点, 下一个节点的上一个节点指向上一个本进程的上一个节点
            PsLookupProcessByProcessId(processId, &pEprocess)
             具体看 30.AGP教程2.2.1(进程隐藏)
        2. 从PspCidTable中擦除, 但退出线程和进程时要调用ExDestroryHandle()销毁句柄,擦除前需要先备份句柄的值,卸载驱动时需要关闭这些句柄
            通过搜索PsLoopupProcessByProcessId函数,获取PspCidTable的地址, 
            PsLoopupProcessByProcessId中调用nt!ExEnumHandleTable()函数的第一个参数就是PspCidTable地址
            GetPspCidTable(&pPspCidTable)
            PsLookupProcessByProcessId(GetCsrssPid(), &pCsrssEprocess)
            ObDereferenceObject(pCsrssEprocess)
            
            // 获取ExEnumHandleTable
            ExEnumHandleTable = MmGetSystemRoutineAddress(&uniExEnumHandleTableFuncName);
            ExEnumHandleTable(pHandleTable, EnumHandleCallback, &EnumParameter, NULL)
            // 并把我们指定的对象的Object对象指针清零,
            // 使用ExEnumHandleTable遍历所有对象, 并把我们指定的对象的Object对象指针清零,InterlockedExchangedPointer()
            InterlockedExchangedPointer(&((PHANDLE_TABLE_ENTRY_EnumParameter)->Object, NULL)
            
        3. 擦除Csrss进程中的句柄, (干掉OpenProcess的方式)
            按照上一个方法,将pCsrssEprocess + g_Offset_Eprocess_HandleTable的值传进去进行抹除即可

逆向安全收徒中...

bigcat201
关注
  • 5
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
龚伦强内核游戏驱动保护教程
05-09
龚伦强所写的过游戏驱动保护教程,内容包括C/C++基础 驱动编程基础 过游戏保护基础
老V2016内核驱动保护课件.rar
05-10
老V2016游戏驱动保护课件..我是通过课件的内容,一个一个对着去学习知识.. 通过这些必须要的知识..一个一个去接解决遇见的问题.. 按照课件内内容一步一步完善自己的技能...
天堂W游戏内核驱动保护简单分析(三)
jian274622701的博客
05-18 653
思路1: Hook这个函数将第一个参数设置为explorer.exe, 函数就会把游戏进程的DebugObject对象转移到Explorer->Process->DebugPort, 就算游戏保护游戏进程的DebugPort清零,也不会影响我们调试 思路2: 处理NTCreateDebugObject, 采用Hook ObCreateObject函数判断上层调用者是否是NTCreateDebugObject, 如果是,则将参数里的DebugObject备份保存 思路3: 需要修改偏移的函数。
天堂W游戏内核驱动保护简单分析(二)
jian274622701的博客
05-18 303
5. HashTable(LIST_ENTRY保存在ntdll里的链表) -> _LDR_DATA_TABLE_ENTRY -> HashLinks(_LIST_ENTRY)2. NTQuerySystemInformation(SystemModuleInformation)枚举驱动(可能性很大)1. DriverObject->DriverSection结构的双向链表枚举内核驱动模块(可能性很大)4. 遍历 PEB(RtlGetCurrentPeb()函数来获取),前三种的本质就是这个方式。
天堂W游戏内核驱动保护简单分析(五)
jian274622701的博客
05-18 508
首先将 KdDebuggerEnabled + 0x10 处的值设置为1, 然后把系统所有访问 KdDebuggerEnabled 的地方全部改为 KdDebuggerEnabled + 0x10, 启动游戏断下的就是游戏驱动在访问了.注意其中有几处mov指令的是保存 KdDebuggerEnabled指针的指针,只需要交里面的指针 + 0x10即可,而不是修改机器码。KiDebugRoutine = KdpStub 则不可调试, 可调试的是kdpTrap (双机调试 ) 待测试。
天堂W游戏内核驱动保护简单分析(四)
jian274622701的博客
05-18 931
Mutex(内核引用为2的, CreateMutex, 对象本身与进程相关,名字随机,没有空格,且看不出任何意义),Apc或者NtCreateThread()或者NtResumeThread()来注入(启动进程就注入, 时机早)系统中的某个调试器调试进程时,会创建1个调试对象类型的内核对象。6. CreateFileMappingA() 和 GetLastError() = 0xB7(183) 共享内存。1. 应用层重载 Immemset(NewDll, 0, sizeof(NewDll))
郁金香游戏逆向-利用驱动保护自己的进程
07-05
郁金香逆向->C,C++,lua,汇编,逆向,驱动,加密解密
驱动保护进程_隐藏进程_遍历内核句柄
07-02
1、改进程PID,隐藏自己的进程 ...4、保护指定进程的内存权限 5、遍历进程的句柄,并降低指定进程PID的句柄权限,里面有遍历内存进程和每个进程句柄的方法 6、操作debugport,防止调试或者使自己脱离调试,检测调试
Windows内核驱动进程保护
01-06
本文将深入探讨这两个主题,并基于"Windows内核驱动进程保护"的标题及描述,介绍如何配置驱动开发环境,理解SSDT(System Service Descriptor Table)钩子的进程保护机制,以及涉及的相关源代码分析。 首先,让...
使用F1C200S从零制作掌机之USB游戏手柄
weixin_36117563的博客
07-08 525
按键键值定义和对应关系,使用以下程序测试。插入USB即可自动识别。
UnityHub 无法添加模块问题
明明明的博客
07-10 199
UnityHub 无法添加模块问题
three-tile: 一个开源的轻量级三维瓦片库
老郭的专栏
07-08 830
three-tile 是一个开源的轻量级三维瓦片库,它基于threejs使用typescript开发,提供一个三维地形模型,能轻松给你的应用增加三维瓦片地图。
TikTok 入局小游戏,小游戏出海赛道大热,开发者如何抢滩海外市场?
最新发布
07-11 525
在海外市场,它的流量主要来源于个人独立站、门户网站以及内置渠道,这些平台对游戏质量都有着严格的要求,从而确保了用户体验的优质性。除此之外,《肥鹅健身房》、《寻道大千》、《三国吧兄弟》等国内现象级微信小游戏,在海外市场以APP形式发行后,也都分别获得巨额流水,这更加坚定了小游戏从业者们的出海掘金的心愿。开发者可以结合游戏进程,在“游戏关卡”、“应用界面启动“等曝光度更高的环节进行广告位设置,保障玩家体验的前提下,提升应用内广告的曝光度和转化率。在休闲、重度两个模块中,仍然有一定的规律可言。
《Unity3D高级编程之进阶主程》第三章 数据表(一) - 数据表的种类
仁希的博客
07-08 497
数据表完全可以认为是一个本地的数据库,只不过这个数据库里的数据是不可被修改的,是只读的。数据表是连接美术,设计策划,和程序的桥梁。
untiy 在菜单栏添加自定义按钮 点击按钮弹出一个Unity窗口,并在窗口里添加属性
吴梓穆的博客
07-10 137
"自动生成/打开生成面板"
《Unity3D高级编程之进阶主程》第三章 数据表(二) - 数据表的制作方式
仁希的博客
07-09 418
让字段名字与程序对应的规则。用程序生成一群变量定义与每个数据表字段名对应,将每个要导出的sheet里的头行的列名作为变量名字写入程序变量定义中,以方便程序在读取数据表时,列名与数据表对齐。可以增加一个Excel表,表里面填有具体要导出哪些Excel文件里的哪个sheet,这些sheet的数据导出后的文件名是什么,以及生成文件后,文件应该转移到哪个文件夹中去。策划并不能很好的控制对表的导出内容的增加和修改。如果需要新增一个表,或者修改某个表的文件名,或者修改导出某个表文件里的sheet,还是需要修改命令行。
用QFramework重构飞机大战(Siki Andy的)(上)(00-05 到游戏界面之前的所有面板)
weixin_39538253的博客
07-07 802
GitHub // 官网的 全民飞机大战(第一季)-----框架设计篇(Unity 2017.3) 全民飞机大战(第二季)-----游戏逻辑篇(Unity 2017.3) 全民飞机大战(第三季)-----完善功能篇(Unity 2017.3) 全民飞机大战(第四季)-----新手引导篇 // B站各放几集 全民飞机大战(第一季)-----框架设计篇(Unity 2017.3) 全民飞机大战(第二季)-----游戏逻辑篇(Unity 2017.3) 全民飞机大战(第三季)-----完善功能篇(Unity 20
qcom linux usb内核驱动子系统分析 gadget
06-03
QCOM Linux USB内核驱动子系统分析Gadget是一个用于在QCOM平台上支持USB Gadget的内核子系统。它提供了一组驱动程序和API,使得QCOM设备能够以USB设备的身份与主机通信。 USB Gadget是一个USB设备,可以通过USB接口...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值