天堂W游戏内核驱动保护简单分析(五)

最新推荐文章于 2024-06-24 09:50:45 发布
最新推荐文章于 2024-06-24 09:50:45 发布
阅读量501 收藏 9
点赞数 6
文章标签: 游戏 c++ 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jian274622701/article/details/139021829
版权

NP 双机调试分析


1. 调用了NtQuerySystemInformation(SystemKernelDebuggerInformation) 来检测os是否是调试模式的进程
    PROCESS ffff920744e6c300
        SessionId: 1  Cid: 1a34    Peb: bc82205000  ParentCid: 111c
        DirBase: 23c33c000  ObjectTable: ffffa90b3ffbbb40  HandleCount: 1098.
        Image: LineageR.exe


    PROCESS ffff920748ec8080
        SessionId: 1  Cid: 05f4    Peb: 00262000  ParentCid: 1a34
        DirBase: 20acef000  ObjectTable: ffffa90b40aae680  HandleCount: 391.
        Image: GameGuard.des

    PROCESS ffff9207489ef080
        SessionId: 1  Cid: 0c04    Peb: 00233000  ParentCid: 1a34
        DirBase: 1a4926000  ObjectTable: ffffa90b3ec27dc0  HandleCount: 469.
        Image: GameMon.des

    GameMon64.des
    PurpleLauncher.exe
    Purple.exe
    purple-agent.exe

2. NtQueryObject() -> DebugObject 未发现

3. 隐藏kdcom.dll和Dgbv.sys

4. 关闭 NtQuerySystemInformation(ProcessBasicInformation 和 ProcessDebugPort) 
        检测当前系统是否处于调试状态, 比如双机调试 
        SystemKernelDebuggerInformation->DebuggerEnabled = FALSE; (双机调试 )
        SystemKernelDebuggerInformation->DebuggerNotPresent = FALSE; (双机调试 )
        dt _KUSER_SHARED_DATA结构成员
            检测 KdDebuggerEnabled 值是否为1                         (双机调试 ) 只要这个为真,则np就会退出进程
            检测 KdEnteredDebugger 值是否为1                             (双机调试 ) 
            检测 KdDebuggerNotPresent 值是否为0,正常应该为1
        KiDebugRoutine = KdpStub 则不可调试, 可调试的是kdpTrap     (双机调试 ) 待测试

    np的保护检测 KdDebuggerEnabled 分析:
        首先将 KdDebuggerEnabled + 0x10 处的值设置为1, 然后把系统所有访问 KdDebuggerEnabled 的地方全部改为 KdDebuggerEnabled + 0x10, 启动游戏断下的就是游戏的驱动在访问了. 
        注意其中有几处mov指令的是保存 KdDebuggerEnabled指针的指针,只需要交里面的指针 + 0x10即可,而不是修改机器码
    fffff801`18cd1e6b 490fb70424     movzx   rax, word ptr [r12]
    fffff801`18cd1e70 488b09         mov     rcx, qword ptr [rcx]
    fffff801`18cd1e73 4889ea         mov     rdx, rbp
    fffff801`18cd1e76 4881c224000000 add     rdx, 24h 
    fffff801`18cd1e7d 0302           add     eax, dword ptr [rdx] // 这里就是在读 KdDebuggerEnabled, 代码应该是vmp混淆了
    fffff801`18cd1e7f 8a09           mov     cl, byte ptr [rcx]  // 这里的cl就是 KdDebuggerEnabled 的值
    fffff801`18cd1e81 0fb6f9         movzx   edi, cl
    fffff801`18cd1e84 418938         mov     dword ptr [r8], edi // 这里将KdDebuggerEnabled写入r8, 而r8又是KdDebuggerEnabled的地址
    fffff801`18cd1e87 4981c004000000 add     r8, 4
    fffff801`18cd1e8e 41c70000000000 mov     dword ptr [r8], 0
    代码附近有看到 0x7FFE0000 所以猜测是使用应用层的检测:
        通过读取 KUSER_SHARED_DATA.KdDebuggerEnabled 的值来检测内核模式调试器是否处于活动状态,
        KUSER_SHARED_DATA 始终位于每个进程的虚拟地址空间中地址 0x7FFE0000 的用户空间中, 偏移固定是0x2D4.
        参考: https://github.com/kyREcon/IsKernelDebuggerPresent

    np调用 MmGetSystemRoutineAddress 函数日志
    nt!_UNICODE_STRING
     "PsSuspendProcess"
       +0x000 Length           : 0x20
       +0x002 MaximumLength    : 0x22
       +0x008 Buffer           : 0xfffff801`6595a3d8  "PsSuspendProcess"
    nt!_UNICODE_STRING
     "PsResumeProcess"
       +0x000 Length           : 0x1e
       +0x002 MaximumLength    : 0x20
       +0x008 Buffer           : 0xfffff801`6595a408  "PsResumeProcess"
    nt!_UNICODE_STRING
     "PsGetThreadId"
       +0x000 Length           : 0x1a
       +0x002 MaximumLength    : 0x1c
       +0x008 Buffer           : 0xfffff801`6595a430  "PsGetThreadId"
    nt!_UNICODE_STRING
     "PsIsProtectedProcess"
       +0x000 Length           : 0x28
       +0x002 MaximumLength    : 0x2a
       +0x008 Buffer           : 0xfffff801`6595a458  "PsIsProtectedProcess"
    nt!_UNICODE_STRING
     "PsIsProtectedProcessLight"
       +0x000 Length           : 0x32
       +0x002 MaximumLength    : 0x34
       +0x008 Buffer           : 0xfffff801`6595a490  "PsIsProtectedProcessLight"
    nt!_UNICODE_STRING
     "ObReferenceObjectSafe"
       +0x000 Length           : 0x2a
       +0x002 MaximumLength    : 0x2c
       +0x008 Buffer           : 0xfffff801`6595a4d0  "ObReferenceObjectSafe"
    nt!_UNICODE_STRING
     "ObRegisterCallbacks"
       +0x000 Length           : 0x26
       +0x002 MaximumLength    : 0x28
       +0x008 Buffer           : 0xfffff801`6595a6c8  "ObRegisterCallbacks"
    nt!_UNICODE_STRING
     "ObUnRegisterCallbacks"
       +0x000 Length           : 0x2a
       +0x002 MaximumLength    : 0x2c
       +0x008 Buffer           : 0xfffff801`6595a6f0  "ObUnRegisterCallbacks"

    解决办法有以下几种: 
        1. 直接双机环境启动完成后,加载我们的驱动,然后将KdDebuggerEnabled的值写为0。
            这种情况下虽然无法在windbg里主动断下,但是使用irp请求通知驱动断下,或者监控进程启动,
            或者之前下的断点都是可以让windbg断下。
            > KdDebuggerEnabled 有两种方式,直接在代码里引用,则是使用导入表链接
            > KdDebuggerEnabled 另一种是使用MmGetSystemRoutine()来获取,这种可以hook EAT表或者直接hook这个函数解决,但要解决PG

        2. 修改KUSER_SHARED_DATA.KdDebuggerEnabled值失败,修改过后立即就被重置,
            尝试了从物理使用pte修改页面属性为可写,也还是会被写回去,
            尝试了使用MmGetPhysicalAddress()转换为物理地址后进行写入,也不能解决。
            其他猜测:
                使用 IoAllocateMdl 读取 KdDebuggerEnabled, 
                Hook KdpTrap 该函数无法断下,会导致虚拟机系统卡死
                而且infinity无法hook非ssdt和sssdt内的函数。
                使用IAT hook系统导出变量, (
                        经测试可行, 在PsCreateImageLoadNotify回调里拦截内核模块,然后IAT Hook KdDebuggerEnabled变量即可
                        但注意不能拦截进程,因为那个时候模块还没有加载,得到的导出RVA只是偏移,不是PE展开后的内存地址
                    )
            要想继续研究的话,可以考虑忽略或者干掉pg,直接使用inline hook KdpTrap等其他函数来检测反获取 KdDebuggerEnabled 的方式。
            干掉patchGuard过后,可以直接对访问KdDebuggerEnabled的系统函数进行位移0x10的访问, 即将KdDebuggerEnabled变量地址位移

5. 删除Purple开机启动的任务计划
    schtasks /delete /tn Purple /f
    
6. NP应用层的dll注入
    dll的注入和驱动的卸载都是由GameMon64.des来完成
    且被注入的npggnt64.des应该还有检测GameMon64.des进程是否存在的检测,不存在则自动卸载自己。


7. 经测试CE7.0能使用,CE7.2不能使用,由于CE的驱动只会加载,不会卸载,
    主要原因就是CE7.2的驱动会被检测到非法,不是驱动模块被发现,而是驱动内的问题.
    经过测试,就算不加载CE7.2的驱动,只开CE7.2也会被检测到, 
    说明有可能是应用层被检测到了, 经验证只加载驱动,可以正常游戏不会被检测到,
    那有可能是游戏驱动下使用KeAttachProcess()切换到用户进程空间检测到进程特征了, 可以尝试只让KeAttachProcess附加游戏目录下的进程.
    所以只有CE7.2的驱动加载过了,就必须重启系统或者手动卸载CE7.2的驱动. 
    总结CE7.2应该是窗口有特征被检测到了,因为使用手动编译CE源码改过的CE7.4都不会被检测到

逆向安全收徒中...

bigcat201
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Win7(WinDbg) + VMware(Win7) 双机调试环境搭建之四
踏踏实实的。。。
06-27 1689
更多精彩内容,请见:http://www.16boke.com 环境: 主机:Win7 虚拟机:VMware 11.1.0 build-2496824 虚拟机内操作系统(又称GuestOS):Win7 WinDbg:适合主机的相应位数的版本就可以。 目录 本文包括四部分,前三部份不分先后顺序,先配置哪部分都可以: 一、配置VMware的管道虚拟串口 二、配置GuestOS的启动项 三、配置WinDbg 四、调试 、常见问题
龚伦强内核游戏驱动保护教程
05-09
龚伦强所写的过游戏驱动保护教程,内容包括C/C++基础 驱动编程基础 过游戏保护基础
天堂W游戏内核驱动保护简单分析(一)
jian274622701的博客
05-18 493
5. PspCidTable内核未导出的句柄表, 保存所有进程和线程的对象, 可以枚举隐藏进程(本质就是枚举句柄表)(可能性很小, 结构偏移不通用)1. 从双向链表中摘除, 取得进程结构指针,将上一个节点指向中下一个节点, 下一个节点的上一个节点指向上一个本进程的上一个节点。6. Csrss进程中的句柄表, 保存着所有的进程列表(本质就是枚举句柄表)(可能性很小, 结构偏移不通用)1. 进程隐藏 NTOpenProcess(本质就是枚举句柄表)(可能性不大)// 获取ExEnumHandleTable。
天堂W游戏内核驱动保护简单分析(四)
jian274622701的博客
05-18 928
Mutex(内核引用为2的, CreateMutex, 对象本身与进程相关,名字随机,没有空格,且看不出任何意义),Apc或者NtCreateThread()或者NtResumeThread()来注入(启动进程就注入, 时机早)系统中的某个调试器调试进程时,会创建1个调试对象类型的内核对象。6. CreateFileMappingA() 和 GetLastError() = 0xB7(183) 共享内存。1. 应用层重载 Immemset(NewDll, 0, sizeof(NewDll))
nProtect GameGuard(簡稱GameGuard或GG,其驅動程序為GameMon.des)是由韓國INCA互聯網開發的遊戲反作弊軟體。
weixin_40191861的博客
11-13 912
nProtect GameGuard nProtect GameGuard(簡稱GameGuard或GG,其驅動程序為GameMon.des)是由韓國INCA互聯網開發的遊戲反作弊軟體。隨著網絡遊戲的興起,愈來愈多人利用外掛從中作弊,這促使GameGuard等反作弊軟體的誕生。GameGuard開發完成後,很快就被日本及韓國網絡遊戲商引入。隨後開設「網絡遊戲用戶通報中心」,傳送不正當或作弊之訊息。 nProtect GameGuard 預設的nProtect GameGuard起始圖片
取消Irp引起蓝屏(BugCheck:0x18)
lixiangminghate的专栏
02-22 2344
昨天写一个简单驱动驱动的write例程会将IRP挂起放进自定义的队列中,然后在另一个线程中取消这些挂起的IRP: NTSTATUS SampleCharWriteAsync(PDEVICE_OBJECT devObj, PIRP irp) { KIRQL oldIrql; SampleCharDevContext* devCtx = (SampleCharDevContext*)devO
天堂W的Npsc64.des的反调试hook简单分析(一)
jian274622701的博客
05-18 143
4 如果出现 The UE4 crash will... 这种一般是在调试调用频繁非常高的函数的情况下导致数组错误,这种使用CE来调试或者断点调试即可,这种问题不是反调试导致的。2. npggNT64.des 禁止加载即可处理大部分ring3层hook, 而反调试是在 GameMonXX.des 里面。1. GameMon.des和GameMon64.des 暂停进程会屋驱动检测到环境异常。
对双机调试的探索
kingswb的博客
04-19 2982
标 题: 对双机调试的探索 作 者: farmtest 时 间: 2014-01-21,12:26:15 链 接: http://bbs.pediy.com/showthread.php?t=183925 最近学习游戏保护,发现VM+WINDBG双机调试不能使用,以游戏保护*P为例,经过论坛搜索,发现有以下几点动了手脚: 1.  kdDebuggerEnabled变量不停的清零,清零
天堂W游戏内核驱动保护简单分析(二)
jian274622701的博客
05-18 298
5. HashTable(LIST_ENTRY保存在ntdll里的链表) -> _LDR_DATA_TABLE_ENTRY -> HashLinks(_LIST_ENTRY)2. NTQuerySystemInformation(SystemModuleInformation)枚举驱动(可能性很大)1. DriverObject->DriverSection结构的双向链表枚举内核驱动模块(可能性很大)4. 遍历 PEB(RtlGetCurrentPeb()函数来获取),前三种的本质就是这个方式。
郁金香游戏逆向-利用驱动保护自己的进程
07-05
郁金香逆向->C,C++,lua,汇编,逆向,驱动,加密解密
老V2016内核驱动保护课件.rar
05-10
老V2016游戏驱动保护课件..我是通过课件的内容,一个一个对着去学习知识.. 通过这些必须要的知识..一个一个去接解决遇见的问题.. 按照课件内内容一步一步完善自己的技能...
驱动保护进程_隐藏进程_遍历内核句柄
07-02
1、改进程PID,隐藏自己的进程 ...4、保护指定进程的内存权限 5、遍历进程的句柄,并降低指定进程PID的句柄权限,里面有遍历内存进程和每个进程句柄的方法 6、操作debugport,防止调试或者使自己脱离调试,检测调试
Windows内核驱动进程保护
01-06
驱动开发环境详细配置,SSDT钩子的进程保护,详细的源代码
进入全球市场的游戏本地化策略
2401_82856454的博客
06-20 1084
开发商在开发游戏时已经很久没有针对单一国家了。对于目前正在开发的许多游戏来说,它们都致力于进入全球市场并吸引各种客户。然而,必须考虑一些游戏是否适合某些市场,以及某些国家是否具有足够的市场潜力。此外,在进入海外市场时,有一件事是绝对不能忽视的,那就是本地化的过程。
游戏开发丨基于Tkinter的子棋小游戏
热门推荐
兔子王
06-18 2万+
本期内容:基于tkinter的子棋小游戏
2024三掌柜赠书活动第二十期:Rust 游戏开发实战
最新发布
软贱开发攻城狮
06-24 1万+
技术圈最近的编程语言新秀当属Rust莫属,Rust是一种现代化的系统编程语言,具有强大的性能、内存安全和并发性,它旨在提供高效的低级控制和抽象,使开发人员能够编写高性能、可靠且安全的系统级应用程序。据悉在 Stack Overflow 的年度开发者调查报告中,Rust 连续多年被评为“最受喜爱的编程语言”,越来越多的大公司如谷歌、微软、腾讯等都开始将Rust运用于各类项目中。
qcom linux usb内核驱动子系统分析 gadget
06-03
QCOM Linux USB内核驱动子系统分析Gadget是一个用于在QCOM平台上支持USB Gadget的内核子系统。它提供了一组驱动程序和API,使得QCOM设备能够以USB设备的身份与主机通信。 USB Gadget是一个USB设备,可以通过USB接口与主机通信。在Linux系统中,Gadget是由内核驱动程序实现的,这些驱动程序负责将Gadget与主机进行连接。QCOM Linux USB内核驱动子系统分析Gadget提供了一组驱动程序,包括大多数常见的USB设备类型,如Mass Storage Device、Audio Device、Serial Device等。 此外,QCOM Linux USB内核驱动子系统分析Gadget还提供了一组API,使得应用程序能够轻松地与Gadget进行通信。这些API包括控制传输、批量传输、中断传输和等待传输等。应用程序可以使用这些API来读取和写入数据,从而与主机进行通信。 总之,QCOM Linux USB内核驱动子系统分析Gadget是一个重要的内核子系统,它为QCOM平台上的USB Gadget提供了强大的支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值