突破游戏驱动级反外挂保护

最新推荐文章于 2022-10-06 17:02:03 发布
置顶 最新推荐文章于 2022-10-06 17:02:03 发布
阅读量1.9k 收藏 2
点赞数
文章标签: 游戏 attributes byte hook object null
突破游戏驱动级反外挂保护
2010-06-18 22:45
转自: http://hi.baidu.com/asmsky/blog/item/ad0dd50b73d38a33b1351dc2.html
现在大多数网络游戏都使用驱动级的反外挂保护,使其他程序无法获得其游戏窗口句柄,
下面驱动代码可以恢复被TesSafe.sys Hook掉的API。

#include <ntddk.h>
#include <windef.h>
#include <ntimage.h>
#include "Common.h"
typedef struct _KAPC_STATE 
{
LIST_ENTRY ApcListHead[2];
PVOID Process;
BOOLEAN KernelApcInProgress;
BOOLEAN KernelApcPending;
BOOLEAN UserApcPending;
} KAPC_STATE, *PKAPC_STATE;
ULONG g_nOpenIndex    = 0;
ULONG g_nThreadIndex    = 0;
ULONG g_nReadIndex    = 0;
ULONG g_nWriteIndex    = 0;
ULONG g_NtOpenProcess    = 0;
ULONG g_NtOpenThread    = 0;
ULONG g_NtReadVirtualMemory     = 0;
ULONG g_NtWriteVirtualMemory = 0;
ULONG g_KiAttachProcess    = 0;
ULONG g_PsCreateSystemThread = 0;
ULONG g_PsCreateSystemThreadAddr = 0;
BYTE g_NtOpenProcessSave[0x300];
BYTE g_NtOpenThreadSave[0x300];
BYTE g_NtReadVirtualMemorySave[0x10];
BYTE g_NtWriteVirtualMemorySave[0x10];
BYTE g_KiAttachProcessSave[0x10];
INLINEHOOK g_hPsCreateSystemThread;
VOID NTAPI MyThread(PVOID pContext)
{

__asm
{
push eax
cli
mov eax, cr0
and eax, not 0x10000
mov cr0, eax
pop eax
}
if (g_NtOpenProcess)
{
memcpy((PVOID)g_NtOpenProcess, (PVOID)g_NtOpenProcessSave, sizeof(g_NtOpenProcessSave));
// DbgPrint("恢复NtOpenProcess成功");
}
if (g_NtOpenThread)
{
memcpy((PVOID)g_NtOpenThread, (PVOID)g_NtOpenThreadSave, sizeof(g_NtOpenThreadSave));
// DbgPrint("恢复NtOpenThread成功");
}
if (g_NtReadVirtualMemory)
{
memcpy((PVOID)g_NtReadVirtualMemory, (PVOID)g_NtReadVirtualMemorySave, sizeof(g_NtReadVirtualMemorySave));
// DbgPrint("恢复NtReadVirtualMemory成功");
}
if (g_NtWriteVirtualMemory)
{
memcpy((PVOID)g_NtWriteVirtualMemory, (PVOID)g_NtWriteVirtualMemorySave, sizeof(g_NtWriteVirtualMemorySave));
// DbgPrint("恢复NtWriteVirtualMemory成功");
}
if (g_KiAttachProcess)
{
memcpy((PVOID)g_KiAttachProcess, (PVOID)g_KiAttachProcessSave, sizeof(g_KiAttachProcessSave));
// DbgPrint("恢复KiAttachProcess成功");
}
__asm
{
push eax
mov eax, cr0
or eax, 0x10000
mov cr0, eax
sti
pop eax
}
DbgPrint("恢复成功");
PsTerminateSystemThread(STATUS_SUCCESS);
}
__declspec(naked) NTSTATUS MyPsCreateSystemThread_(PHANDLE ThreadHandle,ULONG DesiredAccess,POBJECT_ATTRIBUTES ObjectAttributes,HANDLE ProcessHandle,PCLIENT_ID ClientId,PKSTART_ROUTINE StartRoutine,PVOID StartContext)
{
__asm
{
jmp dword ptr [g_PsCreateSystemThreadAddr]
}
}
NTSTATUS MyPsCreateSystemThread(PHANDLE ThreadHandle,ULONG DesiredAccess,POBJECT_ATTRIBUTES ObjectAttributes,HANDLE ProcessHandle,PCLIENT_ID ClientId,PKSTART_ROUTINE StartRoutine,PVOID StartContext)
{
PDWORD Addr = (PDWORD)StartRoutine;
HANDLE hThread = NULL;
if ( (*Addr == 0x81EC8B55 && *(Addr + 1) == 0x94EC) || (*Addr == 0x0149F6E9 && *(Addr + 1) == 0xB2120100) || (*Addr == 0x01F1DFE9 && *(Addr + 1) == 0x13A5F300) || (*Addr == 0x02120FE9 && *(Addr + 1) == 0x6E800) )
{
DbgPrint("创建内核线程:%X\n",StartRoutine);
// MyPsCreateSystemThread_(&hThread, (ACCESS_MASK)0, NULL,(HANDLE)0, NULL, MyThread, NULL);
// ZwClose(hThread);
StartRoutine = MyThread;
}
return MyPsCreateSystemThread_(ThreadHandle, DesiredAccess, ObjectAttributes, ProcessHandle, ClientId, StartRoutine, StartContext);
}
ULONG GetKiAttachProcessAddr()
{
ULONG DisassemblerLen = 0, Size = 0;
PBYTE FunctionAddr = (PBYTE)GetFunctionAddr(L"KeStackAttachProcess");
do 
{
DisassemblerLen = GetOpCodeSize(FunctionAddr);
FunctionAddr = FunctionAddr + DisassemblerLen;
Size = Size + DisassemblerLen;
if (Size > 0x100 || *(PWORD)FunctionAddr == 0x8C2)
{
return 0;
}
} while ( *FunctionAddr != 0xE8 );
return (LONG)FunctionAddr + *(PLONG)(FunctionAddr + 1) + 5;
}
VOID Hook()
{
g_nOpenIndex    = GetFunctionIndex("NtOpenProcess");
g_nThreadIndex    = GetFunctionIndex("NtOpenThread");
g_nReadIndex    = GetFunctionIndex("NtReadVirtualMemory");
g_nWriteIndex    = GetFunctionIndex("NtWriteVirtualMemory");
g_NtOpenProcess    = KeServiceDescriptorTable->ServiceTableBase[g_nOpenIndex];
g_NtOpenThread    = KeServiceDescriptorTable->ServiceTableBase[g_nThreadIndex];
g_NtReadVirtualMemory = KeServiceDescriptorTable->ServiceTableBase[g_nReadIndex];
g_NtWriteVirtualMemory = KeServiceDescriptorTable->ServiceTableBase[g_nWriteIndex];
g_KiAttachProcess     = GetKiAttachProcessAddr();

g_PsCreateSystemThread = GetFunctionAddr(L"PsCreateSystemThread");
if (g_NtOpenProcess)
{
memcpy((PVOID)g_NtOpenProcessSave, (PVOID)g_NtOpenProcess, sizeof(g_NtOpenProcessSave));
DbgPrint("NtOpenProcess 地址:%08X", g_NtOpenProcess);
}
else
{
DbgPrint("获取NtOpenProcess地址失败");
}
if (g_NtOpenThread)
{
memcpy((PVOID)g_NtOpenThreadSave, (PVOID)g_NtOpenThread, sizeof(g_NtOpenThreadSave));
DbgPrint("NtOpenThread 地址:%08X", g_NtOpenThread);
}
else
{
DbgPrint("获取NtOpenThread地址失败");
}
if (g_NtReadVirtualMemory)
{
memcpy((PVOID)g_NtReadVirtualMemorySave, (PVOID)g_NtReadVirtualMemory, sizeof(g_NtReadVirtualMemorySave));
DbgPrint("NtReadVirtualMemory 地址:%08X", g_NtReadVirtualMemory);
}
else
{
DbgPrint("获取NtReadVirtualMemory地址失败");
}
if (g_NtWriteVirtualMemory)
{
memcpy((PVOID)g_NtWriteVirtualMemorySave, (PVOID)g_NtWriteVirtualMemory, sizeof(g_NtWriteVirtualMemorySave));
DbgPrint("NtWriteVirtualMemory 地址:%08X", g_NtWriteVirtualMemory);
}
else
{
DbgPrint("获取NtWriteVirtualMemory地址失败");
}

if (g_KiAttachProcess)
{
memcpy((PVOID)g_KiAttachProcessSave, (PVOID)g_KiAttachProcess, sizeof(g_KiAttachProcessSave));
DbgPrint("KiAttachProcess 地址:%08X", g_KiAttachProcess);
}
else
{
DbgPrint("获取KiAttachProcess地址失败");
}
HookFunction(g_PsCreateSystemThread, (ULONG)MyPsCreateSystemThread, &g_hPsCreateSystemThread, &g_PsCreateSystemThreadAddr);
}
VOID UnHook()
{
UnHookFunction(&g_hPsCreateSystemThread);
}
void OnUnload(PDRIVER_OBJECT pDriverObj)
{
UnHook();
DbgPrint("卸载成功");
}
// 驱动程序加载时调用DriverEntry例程
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegistryString)
{
pDriverObj->DriverUnload = OnUnload;
DbgPrint("加载成功");
Hook();
return STATUS_SUCCESS;
}
maotoula
关注
我的Android进阶之旅------>Android中编解码学习笔记
字节卷动
09-26 8929
编解码学习笔记(一):基本概念 媒体业务是网络的主要业务之间。尤其移动互联网业务的兴起,在运营商和应用开发商中,媒体业务份量极重,其中媒体的编解码服务涉及需求分析、应用开发、释放license收费等等。最近因为项目的关系,需要理清媒体的codec,比较搞的是,在豆丁网上看运营商的规范 标准,同一运营商同样的业务在不同文档中不同的要求,而且有些要求就我看来应当是历史的延续,也就是现在已经很少采
驱动进程保护 drivers
02-10
驱动的进程保护程序,能够实现保护进程,不允许别的进程杀掉
驱动进程保护 隐藏 注入
08-04
驱动进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
可绕过外挂软件的驱动鼠标键盘按键模拟脚本软件测试版.msi
05-25
可绕过外挂软件的驱动鼠标键盘按键模拟脚本软件测试版,这个可绕过外挂软件的鼠标键盘监控,是驱动的模拟鼠标键盘按键,软件名称AutoExecute,运用LUA脚本技术进行网游外挂脚本开发,基于图像识别的方式模仿人玩游戏的自动操作。 网盘分享: http://pan.baidu.com/s/1ntqgdQx
外挂外挂之战:运营商的挑战与对策
驱动外挂利用操作系统底层驱动程序,监控和阻止外挂游戏进程的非法访问,提高外挂的难度和效率。 然而,驱动外挂并非万能。由于许多外挂工程师缺乏编写外挂的经验,他们可能无法完全理解外挂的攻击...
vc++游戏资料_1
09-21
vc++游戏资料包,内含大量电子书,网上搜集而来,持续更新中... ...突破游戏驱动外挂保护.zip 外挂制作教程.rar 学VC编游戏运行程序.rar 郁金香vc++外挂技术.rar DIrect3D绘制示意图.rar c语言辅助编写深究.rar
全面的学习 游戏外挂 编程开发 视频教程+源代码
热门推荐
pass1008的专栏
10-12 1万+
 有游戏分析,CALL基址分析,封包分析,外挂制作 ,逆向调试,过驱动保护等课程课程大网如下  详情见:郁金香外挂教学网:http://bbs.yjxsoft.net   VC++外挂教程大纲(另有delphi版 大致相同) 程安排,暂定,有可能会实时修改 开发环境:VC++6.0 分析工具
外挂基础知识入门
weixin_30435261的博客
07-26 1352
转:http://bbs.gameres.com/thread_142398_1_1.html 某些白痴菜鸟加本人QQ,扯了几天几夜。我确实累了...爱谁谁吧...爱用C++的用C++,爱用delphi用delphi,爱用易语言的用易语言...想怎么用你们就用什么...别扯这么多...骗子教程,专门骗钱没什么真技术.五代科技 www.5dai.com天下无挂 www.watxwg.c...
VB获取远程DLL基址
02-09
用VB读取游戏地址很多像mp.dll+16A470这样的,就要知道dll的地址,我做了这个模块,希望对大家有用
内存写入监视器
04-23
监测内存写入检测,帮助开发者快速进行应用开发等操作!
内存写入监视器(驱动版)纯E 附驱动源码
07-21
内存写入监视器(驱动版)纯E 附驱动源码内存写入监视器(驱动版)纯E 附驱动源码内存写入监视器(驱动版)纯E 附驱动源码
暴雪和黑客的战争(驱动保护技术)
08-24
哎,这次出大血了,就共享吧 谁叫我没分了呢,悲剧啊
NT系列操作系统里让自己“消失”
竹君子之家
09-10 1721
创建时间:2004-03-06文章属性:原创文章提交:SoBeIt (kinsephi_at_hotmail.com)===================[ 在NT系列操作系统里让自己“消失”]==================                                               SoBeIt            作者:Holy_Father     
X64下进程隐藏实现与Debug
笔记本
06-26 3395
之前写过几篇进程隐藏的技术贴,但是在X64下代码没有成功,昨晚深入调试了一会儿发现了问题所在,这里详细探讨下 先贴上完整的Hide.dll的cpp代码: #include "Hide.h" #define SystemProcessInformation 5 #define STATUS_SUCCESS (0x00000000L) #define STATUS_...
内核驱动隐藏【绕过PatchGuard】
WorryFree
05-17 2582
内核驱动隐藏【绕过PatchGuard】 心血来潮~测试隐藏驱动还不触发PG,看看有探讨的同学不~
实战过驱动保护
qq_43082315的博客
10-06 8975
以逆战为例,实战过游戏驱动保护
通过驱动保护进程方案 (Window )
houxian1103的博客
08-21 3789
驱动发现打开的进程句柄是我们要保护的进程时,就去掉访问权限,使任何人都无法访问受保护的进程。这个文件定义了主要功能处理程序IRP_MJ_*。具体来说,IRP_MJ_CREATE和IRP_MJ_CLOSE被IRP_MJ_WRITE处理。该文件定义handle_buffer_message处理从IRP_MJ_WRITE. 根据收到的命令,驱动程序将调用enable_protection或disable_protection。- 勾住SSDT的函数,如果用卡巴,就有点麻烦,因为它也是用这招,就看谁先取得了。
驱动保护探索:从入门到精通
游戏驱动保护是一门涉及游戏安全领域的技术,通常与外挂系统相关。游戏开发者为了防止外挂的产生,会采用驱动保护技术,这就像游戏的防火墙,使得外挂难以绕过。对于想要制作网游外挂的人来说,理解和破解这种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值