【黑客编程】外挂编程技术揭秘(四) 完结篇

引言：

  发现快一个月没有写文章了，从写ttc文章以来，一直有一个想法就是把外挂揭秘系列的更新完成。延续到现在半年过去了。一直专注于做其他的一些事情没有针对这个系列做更新。前几天做了一次早读课技术分享，其实早读课的一些内容也是从研究外挂里面提取出来的。当时讲的不够细致，刚好借着这个机会写一篇文章回顾下知识点。之前一直是想把封包和驱动保护放在两个章节一块讲了，这次可以合到一起。

1.驱动保护原理

  说到驱动保护可能很多人都不知道。其实就windows应用而言，游戏也是一个窗口，窗口与窗口之间是可以直接通过消息通信。但是通过一个工具是无法获取到相关的窗口具柄，即使你有相关的窗口HWND句柄，也是无法对窗口进行操作。其实这个就是驱动保护在作祟，除此之外你会发现你对游戏进程做写内存操作没有任何反应。这个其实也是驱动保护作祟。

接下来我们来说一下驱动保护的原理吧！

  一个操作系统会分为4个系统特权等级，分别是R0、R1、R2、R3，其实我们系统中真正使用到的只有R0与R3。R0对应的是内核级，R3对应的是应用级。而应用级与内核级有什么区别，其实应用级是不能和硬件通信的，而内核级可以和硬件通信。其次就是应用级程序调用系统API交互是，比如说打开进程，打开进程时其实会调用函数OpenProcess。打开进程其实会通过应用层函数去调用SSDT表，然后在调用内核级函数NtOpenProcess。

  SSDT全称为System Services Descriptor Table，中文为系统服务描述符表，SSDT表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表，它还包含着一些其它有用的信息，诸如地址索引的基地址、服务函数个数等。

  为什么要说SSDT呢？其实我们驱动保护早期就是针对于SSDT做了系统函数的hook，如图所示：

  其实游戏驱动保护只是对原有的一些内核函数做了hook跳转到自己到驱动内，然后自己的驱动对一些关键的函数做了hook。比如说OpenProccess这种，因为你要进程之间的写内存操作需要去远程打开另外一个进程。然后调用写内存操作，但是这个只是其中一种方式哈。其实最通用的还是对另外一个进程注入一个dll，注入后。程序本身会将这个dll的所有写内存操作，当作是本进程的一些操作。
  内核级别的hook我们可以称之为inline hook，这个是比较老的技术了。inline hook用作很多场景使用，比如说杀毒软件，防火墙以及驱动保护等等。

下面是一段打印SSDT表地址的代码：

#include <ntddk.h>
#include<ntstatus.h>

typedef struct _KSYSTEM_SERVICE_TABLE
{
    PULONG  ServiceTableBase;                                       // 服务函数地址表基址  
    PULONG  ServiceCounterTableBase;                                //用于 checked builds, 包含 SSDT 中每个服务被调用的次数
    ULONG   NumberOfService;                                        // 服务函数的个数  
    PULONG   ParamTableBase;                                        // 服务函数参数表基址   
} KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;

typedef struct _KSERVICE_TABLE_DESCRIPTOR
{
    KSYSTEM_SERVICE_TABLE   ntoskrnl;                       // ntoskrnl.exe 的服务函数  
    KSYSTEM_SERVICE_TABLE   win32k;                         // win32k.sys 的服务函数(GDI32.dll/User32.dll 的内核支持)  
    KSYSTEM_SERVICE_TABLE   notUsed1;
    KSYSTEM_SERVICE_TABLE   notUsed2;
}KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;


//导出由 ntoskrnl所导出的 SSDT
extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable;//这个是导出的，要到内核文件找，所以名字不能瞎起

VOID DriverUnload(PDRIVER_OBJECT pDriver) {
    UNREFERENCED_PARAMETER(pDriver);
    KdPrint(("My Dirver is unloading..."));
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pPath) {
    UNREFERENCED_PARAMETER(pPath);
    KdPrint(("->%x \n", KeServiceDescriptorTable));
    pDriver->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}

（注意这个是一段驱动级代码需要使用wdk才能跑的起来）

  说了那么多相关驱动保护的知识，那么我们为什么要了解这个知识呢？其实了解inline hook可以破解后，调试相关内存。或者是某些驱动保护不能注入dll可以通过破解驱动保护达成需要的效果。当然调试内存目前也不是说一定要去编码破解驱动保护。实质上像OD的一些插件就可以直接破解驱动保护。

2.封包

怎么去理解封包呢，可以看一下，下图

  要做到数据封包其实有很多中方式，说到hook技术其实我们上面讲sstd到时候提到过。我们应用层和内核层都可以做hook，hook函数本身跳转到自己的函数内，做以下加工。然后在调用原有的函数，这样就可以实现封包。这里的话可以hook例如：send、WSASend，这样的函数。

  模拟数据包和数据包截获，数据包截获可以利用嗅探器编程去实现；模拟数据包可以自己编写socket通信去实现。然而我们也有一些封包工具，例如WPE这样的，一款修改网络游戏封包的常用外挂工具。

应用层hook 代码完整例子：

#include "stdafx.h"
#include <windows.h>
#include <stdio.h>

typedef int (WINAPI
    *MessageBox_type) (
    __in_opt HWND hWnd,
    __in_opt LPCSTR lpText,
    __in_opt LPCSTR lpCaption,
    __in UINT uType) ;

MessageBox_type RealMessageBox = MessageBoxA;

//我们自己的MessageBox，每调用MessageBox都要跳到myMessageBox来处理
_declspec(naked)  void WINAPI
    myMessageBox(
    __in_opt HWND hWnd,
    __in_opt LPCSTR lpText,
    __in_opt LPCSTR lpCaption,
    __in UINT uType)
{
        __asm
    {
        PUSH ebp
        mov ebp,esp

        /*
        vs2010 debug 编译后的代码由于要cmp esi esp来比较堆栈。
        所以这里在调用非__asm函数前push一下esi
        */
        push esi
    }
    //下面打印MessageBox参数
    printf("hwnd:%8X lpText:%s lpCaption:%s,uType:%8X",hWnd,lpText,lpCaption,uType); 

    __asm
    {
        /*
        vs2010 debug 编译后的代码由于要cmp esi esp来比较堆栈。
        所以这里在调用非__asm函数前push一下esi
        */
        pop esi

        mov ebx,RealMessageBox
        add ebx,5
        jmp ebx
    }
}


#pragma pack(1)
typedef struct _JMPCODE
{
    BYTE jmp;
    DWORD addr;
}JMPCODE,*PJMPCODE;

VOID HookMessageBoxA()
{
    JMPCODE jcode;
    jcode.jmp = 0xe9;//jmp
    jcode.addr = (DWORD)myMessageBox - (DWORD)RealMessageBox - 5; 

    RealMessageBox = MessageBoxA;
    ::WriteProcessMemory(GetCurrentProcess(),MessageBoxA,&jcode,sizeof(JMPCODE),NULL);
}

int _tmain(int argc, _TCHAR* argv[])
{
    HookMessageBoxA();  //hook操作
    ::MessageBoxA(NULL,"hook test","tip",MB_OK); //执行api MessageBox
    return 0;
}

  要实现封包外挂这种需要对游戏数据包做分析，但是大部分的游戏而言呢。对数据包是有加密操作，所以分析过程中你还需要对加密/解密做分析。这个过程也比较痛苦。不过对技术的学习，可以提高你的认知。即使痛苦或许也是一种追寻成就中不可缺少的一个过程。

参考文献

进程隐藏与进程保护（SSDT Hook 实现）（一）
https://www.cnblogs.com/BoyXiao/archive/2011/09/03/2164574.html

VS2017搭建驱动开发环境WDK
https://www.cnblogs.com/blogg/p/9348609.html

c++实现对windwos 下socket 的封装(实现封包及拆包处理)
https://blog.csdn.net/Syee001/article/details/76216478