天堂W游戏内核驱动保护简单分析(三)

最新推荐文章于 2024-06-26 13:42:39 发布
最新推荐文章于 2024-06-26 13:42:39 发布
阅读量815 收藏 17
点赞数 16
文章标签: 游戏 安全 c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jian274622701/article/details/139021739
版权

调试器检测

  1. DebugPort清零 在没有被调试之前

     +0x0bc DebugPort        : (null) 
 ​
 +0x248 Flags            : 0xd0800
    +0x248 CreateReported   : 0y0
    +0x248 NoDebugInherit   : 0y0

    被调试之后:

     +0x0bc DebugPort        : 0x89367b38 Void
 ​
 +0x248 Flags            : 0xd0801
    +0x248 CreateReported   : 0y1
    +0x248 NoDebugInherit   : 0y0

  2. 调试信息查询

     NtQuerySystemInformation(ProcessBasicInformation 和 ProcessDebugPort) 
     检测当前系统是否处于调试状态, 比如双机调试 
     SystemKernelDebuggerInformation->DebuggerEnabled = FALSE; (双机调试 )
     SystemKernelDebuggerInformation->DebuggerNotPresent = FALSE; (双机调试 )
     检测kdcom.dll内核模块是否加载                             (双机调试 )
     dt _KUSER_SHARED_DATA结构成员s
         检测 KdDebuggerEnabled 值是否为1, 这个值还会控制桌面是否显示测试模式                           (双机调试 )
         检测 KdEnteredDebugger 值是否为1                          (双机调试 )
         检测 KdDebuggerNotPresent 值是否为0,正常应该为1
     KiDebugRoutine = KdpStub 则不可调试, 可调试的是kdpTrap    (双机调试 )
     检测内核调试的其他变:
         已开启内核调试:0  未开启内核调试:1dd KdpTimeSlipPending l1
         已开启内核调试:1  未开启内核调试:0db KdpBootedNodebug  l1
         已开启内核调试:0  未开启内核调试:1dd KdDebuggerLockMaxWaitTime  l1
         已开启内核调试:有值  未开启内核调试:0dd KdDebuggerEnteredCount  l1
         已开启内核调试:有值  未开启内核调试:0db KdpContextSent   l1
         已开启内核调试:1   未开启内核调试:0db KdpBreakpointTable l4
         下内核断点:有值  未下内核断点:0dq KdTimerStop     l1
         已开启内核调试:有值  未开启内核调试:0db KdpPathBuffer   l4
         已开启内核调试:有值  未开启内核调试:0dq KdTimerDifference l1
         已开启内核调试:有值  未开启内核调试:0db KdpControlCPressed l1
         挂起:1  恢复:0dd KdUmBreakMarker l1
         已开启内核调试:有值  未开启内核调试:0dd KdEnteredDebugger l1
         挂起:1  恢复:0dq KdDebugDevice   l1
         已开启内核调试:有值  未开启内核调试:0db KdPageDebuggerSection l1
         已开启内核调试:0  未开启内核调试:1db KdpDebuggerStructuresInitialized l1
         已开启内核调试:1  未开启内核调试:0dq KdTimerStart    l1
         已开启内核调试:有值  未开启内核调试:0db KdLogBuffer     l4
         已开启内核调试:有值  未开启内核调试:0db KdDebuggerEnabled l1
         已开启内核调试:1   未开启内核调试:0dq KdDebuggerNotPresent l1
         已开启内核调试:0  未开启内核调试:1db KdpContext l4
         已开启内核调试:有值  未开启内核调试:0db KdBreakAfterSymbolLoad l1
         已开启内核调试:1  未开启内核调试:0db KdpDataBlockEncoded l1
         已开启内核调试:0  未开启内核调试:1dd KdpDebugRoutineSelect l1
         已开启内核调试:1  未开启内核调试:0dq KdpTimeSlipTimer l1
         已开启内核调试:有值  未开启内核调试:0db KdPortLocked    l1
         已开启内核调试:1  未开启内核调试:0db KdpMessageBuffer l4
         已开启内核调试:有值  未开启内核调试:0dq KdDebuggerLock  l1
         
 NtQueryInformationProcess(ProcessBasicInformation 和 ProcessDebugPort)
     ProcessDebugPort
     ProcessDebugObjectHandle
     ProcessDebugFlags
 检测父进程,进程被调试时父进程为调试进程

  1. OnNtQueryObject()查询调试对象名

     typedef enum _OBJECT_INFORMATION_CLASS{
     ObjectBasicInformation,
     ObjectNameInformation,
     ObjectTypeInformation,
     ObjectAllInformation,
     ObjectDataInformation
 }OBJECT_INFORMATION_CLASS, *POBJECT_INFORMATION_CLASS;

    这是一个对象的结构,我们只关心调试对象: ObjectAllInformation

    第四个成员ObjectAllInformation,查询的是调试对象名:DebugObject,每当一个应用程序被调试的时候,将会为调试对话在内核中创建一个DebugObject类型的对象。程序可以检查DebugObject类型内核对象的数量来确定是否有调试器的存在。

  2. NtSetInformationThread()修改线程标志,让其不可被调试, 某些加壳也会使用这个方式。 CrossThreadFlags标志位不能被修改,hook后让其可以被修改

  3. hook NtDebugActiveProces附加到游戏进程

  4. DebugPort偏移修改,hook DbgkpSetProcessDebugObject这个函数,将读取DebugPort偏移的值改掉

     NTSTATUS DbgkpSetProcessDebugObject(
     IN PROCESS Process, // 这里其实就指进入的游戏进程对象
     IN PDEBUG_OBJECT DebugObject,
     IN NTSTATUS MsgStatus,
     IN PETHREAD LastThread
 )

    思路1: Hook这个函数将第一个参数设置为explorer.exe, 函数就会把游戏进程的DebugObject对象转移到Explorer->Process->DebugPort, 就算游戏保护对游戏进程的DebugPort清零,也不会影响我们调试 思路2: 处理NTCreateDebugObject, 采用Hook ObCreateObject函数判断上层调用者是否是NTCreateDebugObject, 如果是,则将参数里的DebugObject备份保存 思路3: 需要修改偏移的函数

         KiDispatchException
     PspExitThread
     PspTerminateAllThreads
     PspProcessDelete
     PsIsProcessBeingDebugged
     PsGetProcessDebugPort
     NtQueryInformationProcess
     DbgkpSetProcessDebugObject
     DbgkClearProcessDebugObject
     DbgkpQueueMessage
     DbgkOpenProcessDebugPort
     DbgkCopyProcessDebugPort
     DbgkpCloseObjec
     DbgkpMarkProcessPeb
     DbgkForwardException
     DbgkCreateThread
     DbgkMapViewOfSection
     DbgkUnMapViewOfSection
     DbgkExitProcess();
     DbgkExitThread();

  5. ValidAccessMask清零 ValidAccessMask是在DebugObjectType的OBJECT_TYPE_INITIALIZER成员里

     0: kd> dt _object_type 89a32298
 nt!_OBJECT_TYPE
    +0x000 Mutex            : _ERESOURCE
    +0x038 TypeList         : _LIST_ENTRY [ 0x89a322d0 - 0x89a322d0 ]
    +0x040 Name             : _UNICODE_STRING "DebugObject"
    +0x048 DefaultObject    : (null) 
    +0x04c Index            : 8
    +0x050 TotalNumberOfObjects : 0
    +0x054 TotalNumberOfHandles : 0
    +0x058 HighWaterNumberOfObjects : 0
    +0x05c HighWaterNumberOfHandles : 0
    +0x060 TypeInfo         : _OBJECT_TYPE_INITIALIZER
    +0x0ac Key              : 0x75626544
    +0x0b0 ObjectLocks      : [4] _ERESOURCE
 ​
 0: kd> dt _OBJECT_TYPE_INITIALIZER 89a32298+0x60
 nt!_OBJECT_TYPE_INITIALIZER
    +0x000 Length           : 0x4c
    +0x002 UseDefaultObject : 0 ''
    +0x003 CaseInsensitive  : 0 ''
    +0x004 InvalidAttributes : 0
    +0x008 GenericMapping   : _GENERIC_MAPPING
    +0x018 ValidAccessMask  : 0x1f000f
    +0x01c SecurityRequired : 0x1 ''
    +0x01d MaintainHandleCount : 0 ''
    +0x01e MaintainTypeList : 0 ''
    +0x020 PoolType         : 0 ( NonPagedPool )
    +0x024 DefaultPagedPoolCharge : 0
    +0x028 DefaultNonPagedPoolCharge : 0x30
    +0x02c DumpProcedure    : (null) 
    +0x030 OpenProcedure    : (null) 
    +0x034 CloseProcedure   : 0x80643b68     void  nt!DbgkpCloseObject+0
    +0x038 DeleteProcedure  : 0x8060d98e     void  nt!FsRtlInitializeOplock+0
    +0x03c ParseProcedure   : (null) 
    +0x040 SecurityProcedure : 0x805f9144     long  nt!SeDefaultObjectMethod+0
    +0x044 QueryNameProcedure : (null) 
    +0x048 OkayToCloseProcedure : (null)

    可以通过Hook ObReferenceObjectByHandle代替DebugObjectType, 让我们的调试器使用

  6. 检测 这里手动在windbg修改KUSER_SHARED_DATA 全局变量 的KdDebuggerEnabled dt _KUSER_SHARED_DATA 0xFFFFF78000000000 修改的命令是eb 0xFFFFF78000000000+0x2d4 0

  7.  hook kdcom!KdSendPacket 和 kdcom!KdReceivePacket

  8. 静态反调试可参考 静态反调试技术(2)_ntquerysysteminformation 反调试-CSDN博客

  9. 反硬件断点和自定义异常处理,在自定义函数中获取硬件断点信息来检测测试器: https://www.cnblogs.com/Sna1lGo/p/15358626.html

     SetUnhandledExceptionFilter(MyUnhandledExceptionFilter); // SEH, VCH, UEH
 AddVectoredExceptionHandler(); // VEH
 AddVectoredContinueHandler(); // VCH
 GetThreadContext(); // 检测硬件断点
 SetThreadContext(); // 硬件断点清零

  10. ObRegisterCallbacks监控进程和线程的创建和退出、暂停、恢复等操作

bigcat201
关注
鸿蒙内核源码分析(重定位篇) | 与国际接轨
m0_70748458的博客
07-01 854
重定位就是把程序的逻辑地址空间变换成内存中的实际物理地址空间的过程。它是实现多道程序在内存中同时运行的基础。重定位有两种,分别是动态重定位与静态重定位。1.静态重定位:即在程序装入内存的过程中完成,是指在程序开始运行前,程序中的各个地址有关的项均已完成重定位,地址变换通常是在装入时一次完成的,以后不再改变,故称为静态重定位。也就是在生成可执行/共享目标文件的同时已完成地址的静态定位,它解决了可执行文件/共享目标文件的内部矛盾.
鸿蒙内核源码分析(编译过程篇) | 简单案例窥视编译全过程
最新发布
m0_70748458的博客
06-26 1236
一个.c源文件编译的整个过程如图.
天堂W游戏内核驱动保护简单分析()
jian274622701的博客
05-18 748
首先将 KdDebuggerEnabled + 0x10 处的值设置为1, 然后把系统所有访问 KdDebuggerEnabled 的地方全部改为 KdDebuggerEnabled + 0x10, 启动游戏断下的就是游戏驱动在访问了.注意其中有几处mov指令的是保存 KdDebuggerEnabled指针的指针,只需要交里面的指针 + 0x10即可,而不是修改机器码。KiDebugRoutine = KdpStub 则不可调试, 可调试的是kdpTrap (双机调试 ) 待测试。
WRK中全部访问DebugPort的函数总汇。
yeook的专栏
07-24 1343
KiDispatchException        //1处NtQueryInformationProcess      //1处PspCreateProcess        //1处PsGetProcessDebugPort      //1处PsIsProcessBein
VT过游戏保护,调试有保护游戏
01-25
VT过游戏保护,调试有保护游戏。无视TP,HP,PP。
Win7x64系统过TP的一些尝试和目前遇到的问题
04-08 2483
其实渣新学内核编程不过半个月时间,帖中难免有幼稚的想法和错误,遇到的问题我会用蓝色文字表述,还请各位前辈指正,感激不尽! 我把自己目前的进展和遇到的问题一起说说吧: x64系统过TP大概分两步,首先要过双机调试,然后要过应用层调试。 1、过双机调试,这里也分两步 (1)首先要保证debug模式下启动游戏不蓝屏。 我也是第一次研究TP,对这之前的保护不了解,不过看网上所说这个启
来自看雪的手把手调试DebugPort清零
liujiayu2的专栏
06-30 3552
现在多数程序为了防止调试。基本上都用到了驱动HOOK 内核API。 至于绕过那些HOOK,基本上大家应该已经是没有什么问题了。 估计像我这样的菜鸟也不算多了。研究DebugPort 清0,倒是难倒了我。。。 所谓DebugPort 清0,就是向 EPROCESS->DebugPort  不停写入 NULL(0)值。。让调试器无法收到调试信息。。。 现在能找到的资料也不算多。。。
鸿蒙内核源码分析(ELF解析篇) | 内核加载
m0_70748458的博客
06-26 634
ELF,它实在是太重要了,内核加载的就是它,不说清楚它怎么去说清楚应用程序运行的过程呢.看到下面这一坨一坨的,除了.text,.bss,.data听过见过外,其他的咱也没啥交情。
hook
ReversalC的专栏
10-14 1220
KiFastcallEntry路过各函数hook. SwapContext路过IDT/GDT hook. OD附加发现卡死.DbgkpProcessDebugPortMutex其中几字节被改.自已创建一个,hook几个函数使用新的搞定. OD再次附加发现下断卡死,线程被隐藏,直接xxx. OD附加模块窗口如果出现模块不断加载卸载是因为还有四个四个字节的hook,直接xxoo就好了.
驱动内核调试检测学习内核调试引擎加载机制
04-08 1673
标 题: 【原创】某驱动内核调试检测学习内核调试引擎加载机制 作 者: 毁灭 时 间: 2014-03-29,02:13:41 链 接: http://bbs.pediy.com/showthread.php?t=186091 作者:Tiany QQ:304400230 如果大家调试过某驱动 就知道新版本的驱动已经改了很多 很主要的一点就是只要我们在boot.ini 里加入
过TP保护与解除游戏驱动保护(可以借鉴)
热门推荐
eldn__的专栏
02-23 4万+
TP 是国内腾讯游戏一款比较流行的驱动保护程序.  负责保护腾讯每款游戏不被修改破坏,     也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会  例如OD与CE无法进行如以下操作:  无法附加进程,  无法打开进程,  游戏进程被隐藏无法在工具中查看到, 内存无法读取代码   内存修改后游戏掉线    无法双机进行调试   出现SX非法模块提示 ` 其实以上
PsGetProcessPeb and PsGetProcessWow64Process internals
huanongying131的博客
01-06 3378
转:https://malwaretips.com/threads/psgetprocesspeb-and-psgetprocesswow64process-internals.86482/   PsGetProcessPeb and PsGetProcessWow64Process internalsDisclaimer ​ This content is presented solely...
KdEnteredDebugger变量的定位
haodawei123的博客
02-01 642
下面是 KdEnterDebugger函数xp下面的代码: 通过这个函数可以定位到KdEnteredDebugger这个变量的位置 8065e871 c705c4d4548001000000 mov dword ptr [nt!KdEnteredDebugger (8054d4c4)],1 8065e873-8065e806=0x6d,读取KdEnterDebugger函数的6d处就能得到 KdE...
内核调试学习笔记
zfdyq
12-17 2333
内核调试学习笔记  第一次调用KdInitSystem会初始化一下全局变量:   1.KdPitchDebugger:布尔类型,用来表示是否显式抑制内核调试。当启动选项中包含/DEBUG选项时,这个变量会被设置为真。 2.KdDeBuggerEnable:布尔类型,用来表示内核调试是否被启用。当启动选项中包含/DEBUG或者/DEBUGPORT 而且不包含/NODEBUG时,这个变量会被设
Windows对异常的管理(描述、分发和处理)及源码剖析
qq_42814021的博客
11-17 1599
异常 Windows中异常处理分为两种: 硬件异常:CPU产生的异常。 软件异常:通过软件方式模拟出的异常,RaiseException 或 throw。 先来介绍一下软件异常,throw抛出异常底层也是通过RaiseException实现的,因此我们从throw开始! C++异常处理 C++中的异常处理机制由try、throw、catch组成。 try语句块负责监视异常; throw语句用于异常信息的发送,也称为抛出异常; catch语句用于异常的捕获,并作出相应的处理。 代码结构如下: try { /
64位windows系统的PatchGuard
lionzl的专栏
07-27 2687
作 者: carlcarl 时 间: 2012-03-26,17:35:21 链 接: http://bbs.pediy.com/showthread.php?t=148451 【说明】 1.  本文是意译,加之本人英文水平有限、windows底层技术属菜鸟级别,本文与原文存在一定误差,请多包涵。 2.  由于内容较多,从word拷贝过来排版就乱了。故你也可以下载附件。 3.  如
聊聊游戏辅助那些事上部第一篇——过掉那些讨厌的游戏保护
YoungBoz的专栏
04-17 4694
 这个系列计划分为上下两部,上部是内置型辅助,下部是按键型辅助。我不保证会写完。 聊聊游戏辅助那些事上部第一篇——过掉那些讨厌的游戏保护。 相对以前那些裸奔游戏,现在的新游戏多少都会有些保护,这是绕不过去的坎。 下面针对我发现的几个保护方法,逐个的聊一聊。 1、R3应用层下,DebugActiveProcess 加载调试器时,会设置一个远程断点,而这个远程断点其实多此一举,反而有时会
关于Win7 x64下过TP保护(内核)(转)
weixin_30819085的博客
07-21 689
首先特别感谢梦老大,本人一直没搞懂异常处理机制,看了他的教程之后终于明白了。在他的教程里我学到了不少东西。第一次在论坛发帖,就说说Win7 x64位下怎么过TP保护。如果有讲错的地方,还望指出。说不定我发帖后一星期TP就会大更新呢。打字排版好辛苦。先说说内核层,看大家的反应后再说说应用层的保护。(包括解决CE非法问题)调试对象:DXF调试工具:OD、Windbg调试环境:Win7 SP1 X64...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值