【游戏保护】R3下的Shadow API

最新推荐文章于 2023-10-17 16:39:27 发布
最新推荐文章于 2023-10-17 16:39:27 发布
阅读量735 收藏 2
点赞数
文章标签: c++ 游戏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qazxswpanzer/article/details/107822711
版权

原理:其实就是把原先的Dll内部的API代码复制到另一块内存执行 类似于内存加载的dll 方法很简单也很有效 某些游戏 dxf xf *p保护下的游戏基本都在用 对r0 hook毫无卵用
用途:规避R3下 hook

#include <Windows.h>
#define FunNumber 20
struct NtFunction
{
    LPCSTR name;
    PVOID Fun;
};
NtFunction list[FunNumber];
DWORD FunMem = 0;
DWORD Size = 0;
DWORD GetFunSpace()
{

   return (DWORD)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtOpenProcessTokenEx")- (DWORD)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "NtOpenThreadTokenEx");
}
VOID EnDeFun()
{
    if (!FunMem)
    {
        return;
    }
    for (int i=0;i< Size * FunNumber;i++)
    {
        *(BYTE*)(FunMem + i) = *(BYTE*)(FunMem + i) ^ 0x521314;
    }
}
PVOID ExtNtDllFunciton(LPCSTR funname)
{
    if (!FunMem)
    {
      Size = GetFunSpace();
      FunMem = (DWORD)VirtualAlloc(NULL, Size * FunNumber, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
    }
   
    static DWORD Times = 0;
    for (int i=0;i<20;i++)
    {
        if (lstrcmpA(list[i].name,funname)==0)
        {
            return list[i].Fun;
        }
    }
    PVOID Address=GetProcAddress(GetModuleHandle(L"ntdll.dll"), funname);
    if (Address)
    {
        memcpy((PVOID)(FunMem + Times * Size), Address, Size);
        char* name = (char*)malloc(strlen(funname) + 1);
        memcpy(name, funname, strlen(funname) + 1);
        PVOID Address= (PVOID)(FunMem + Times * Size);
        list[Times].name = name;
        list[Times].Fun = Address;
        Times++;
        return Address;
    }
    return 0;
}
typedef NTSTATUS(NTAPI* PNtReadVirtualMemory)(
    IN HANDLE               ProcessHandle,
    IN PVOID                BaseAddress,
    OUT PVOID               Buffer,
    IN ULONG                NumberOfBytesToRead,
    OUT PULONG              NumberOfBytesReaded OPTIONAL);
int main()
{
    printf("NtReadVirtualMemory %x NtWriteVirtualMemory %x NtReadVirtualMemory %x \n", ExtNtDllFunciton("NtReadVirtualMemory"), ExtNtDllFunciton("NtWriteVirtualMemory"), ExtNtDllFunciton("NtReadVirtualMemory"));
    PNtReadVirtualMemory myReadMemory = (PNtReadVirtualMemory)ExtNtDllFunciton("NtReadVirtualMemory");
    DWORD a = 123456;
    DWORD b = 0;
    myReadMemory(GetCurrentProcess(),&a,&b,4,NULL);
    printf("Shadow NtReadVirtualMemory 结果 %d \n",b);
    EnDeFun();//简单的对自己的代码加密一下
    printf("Shadow Native API已经加密\n");
    EnDeFun();//再次调用解密
    printf("Shadow Native API已经解密\n");
    system("pause");
}

shadow API生成情况:
在这里插入图片描述
shadow API调用情况:
在这里插入图片描述
对shadow API简单的加密:
在这里插入图片描述

Kasugano-Sora
关注
关于win7下r3窗口进程保护的一些方式
被遗弃的庸才博客
08-06 2205
背景 随着Windows PG保护的出现,过去内核挂钩inline hook的时代逐渐远去,hook OpenProcess的日子也一去不复返了。那么,如果想在Windows操作系统上不那么轻易的被结束掉(这里主要考虑不在r3被结束,都在内核还干不掉你),有没有什么方法? 常见方式 通常情况下如果是在r0,注册一个ObRegisterCallbacks回调,对PROCESS_TERMINATE权限进行限制,就能解决别人调用TerminateProcess结束进程的情况。 if (pOperatio
[Windows] 系统调用(R3 进入 R0)
墨鱼菜鸡
09-07 245
背景 一个线程由用户态进入内核态的途径有3种典型的方式: 通过 int 0x2e(软中断自陷) 或 KiFastSystemCall (快速系统调用),主动进入内核。引发异常或硬件中断,被迫进入内核。 一般...
r3进程保护dll
08-16
r3进程保护 MsgBox HOOK
Shadow API技术
laciqs
09-02 257
深入浅出Windows API程序设计:核心编程篇》这本书介绍了Shadow API技术,此技术可以起到隐藏api调用的作用,从而显著增加调试和逆向的难度。在Win11 22H2自测通过,Debug版和Release版都可以,Debug版的区别就是MessageBoxW函数短一点,但是关键的call偏移没有变。但是里面给的示例代码由于严重依赖于操作系统版本,不要说Win11,在部分Win10上都会出现崩溃,这很不利于学习。所以按照书中原来的思路是肯定不行的,需要自己手动修正新代码的偏移。
关于R3下的自身进程守护
yiyefangzhou24的专栏
03-13 2749
<br />      一大早的来到图书馆还把我的本本抗来了,就为了写一篇博客。<br />      这个博客其实说来挺愧疚的,原理搞错了,却也实现了预期之外的功能,如题R3下的自身进程守护。<br />      昨天下午和“列宁”交流了一下午,才发现原来我本来的构想就是错误的,我本想挂钩Terminateprocess的函数达到禁止制定进程被结束的,但是意外的把挂钩的原理搞错了,程序倒是写了一堆,就是不能实现功能。把我给急的,后来昨天下午偶遇高人“列宁”,探讨了一下午,我终于搞清楚我的错误在哪里,(其
Linux 内核学习笔记
AI.PLAY
01-10 1万+
Linux内核学习笔记 《linux内核设计艺术》写的很好,对于理解操作系统的工作原理有很大帮助,以下是我在读这本书时所整理的一些框架,希望可以对读者理解linux操作系统的内核起到一定的作用,由于本人水平有限,不足之处,欢迎广大读者留言指正。 1.linnux启动 计算机在启动时,内存中是没有程序的,所以需要将硬盘中的操作系统加载到内存中,在内存(RAM)中什么程
unity游戏开发学习笔记
qq_29231163的博客
09-02 1万+
unity note: 游戏和三维互动内容开发工具,专业游戏引擎 游戏引擎: 一款游戏最核心的代码 包含: 渲染引擎,物理引擎、碰撞检测,音效、脚本引擎、动画系统 人工智能、网络引擎、场景管理。 游戏公司分工 策划、美工、软件工程师、测试工程师、客服 首月: day1: 环境搭建、C#语言基础、Unity API、物理引擎1、3D数学基础、UGUI 程序界面 Project->Assets文件 Hierarchy-> 对象 Scene 右键旋转 滚轮->前进后退 F键—&gt
5-vulnhub W1R3S 1
weixin_45345568的博客
06-29 1113
5-vulnhub W1R3S 1 下载地址为:https://www.vulnhub.com/entry/w1r3s-101,220/ 本次的靶机ip为192.168.3.24(桥接模式自动获取) 目标:得到root权限 找到flag 一、信息搜集 1.扫描目标ip,这里使用arp-scan -l 2.扫描端口,这里使用nmap 命令为nmap -p 1-65535 -sV 192.168.3.24 nmap -p 1-65535 -sV 192.168.3.24 Starting Nmap 7.70
Windows内核新手上路3——挂钩KeUserModeCallBack
gimbow的专栏
09-14 2698
Windows内核新手上路3——挂钩KeUserModeCallBack1.     简介在Windows系统中,提供了几种方式从R0调用位于R3的函数,其中一种方式是KeUserModeCallBack,此函数流程如下:nt!KeUserModeCallback->nt!KiCallUserMode->nt!KiServiceExit->ntdll!KiUserCallbackDispatcher->回调函数-> int2B->nt!KiCallbackReturn-> nt!KeUserModeCall
一次小米路由器3刷机的翻车记录
taoke00的博客
04-15 8068
下载旧版本ROM,手动降级 小米路由3miwifi_r3_all_55ac7_2.11.20.bin 登陆后拿到stock id,替换url中的id,在浏览器中打开。 第一行是修改密码的 http://192.168.31.1/cgi-bin/luci/;stok=30aa27d23b2db1881375dc53d0eace72/api/xqsystem/set_name_password?o...
进程保护ethread
11-24
进程保护 wrk ethread crossthreadflags
DLL注入、进程保护
lastsurvivor的专栏
11-10 1260
由于项目需要,windows客户端需要做进程保护。根据网上资料和自己的整理,制定以下方案并实施成功。          利用远程线程的方法将DLL注入svchost的系统进程,在DLL中定时检查客户端进程是否存在,若不存在则开启。         遇到的问题:          1.远程线程,DLL总是注入不成功。          原因:注入到svchost是系统进程,需要先提升权限。
R3内存保护
u012129783的博客
07-25 511
HTML5之9 __Canvas 的Shadow API
daozhongyang的专栏
05-17 1616
本文介绍 Canvas Shadow API , 为文本添加模糊阴影效果.  虽然之前已对 canvas 阴影效果应用 有介绍 , 这里主要介绍对文本的阴影效果. 阴影效果的使用也要把握好 "度".  看一个示例 文本阴影示例 drawTrails(); function drawTrails() { var canvas =
为什么影子 API 比您想象的更危险
最新发布
why811的博客
10-17 174
他们的API安全平台可以监控负载均衡器,API网关和Web应用程序防火墙,使您能够查找和编目每种类型的API,包括HTTP,RESTful,GraphQL,SOAP,XML-RPC,JSON-RPC和gRPC。通过利用 API,网络犯罪分子可以检索敏感的客户数据,例如他们的地址、销售报价中的信用卡信息和 VIN 号,这些信息对身份盗用有明显的影响。与普遍的看法相反,不幸的是,在生产环境中拥有您的运营或安全团队中没有人知道的 API 太常见了。最重要的是,影子 API 对像您这样的组织提出了独特的挑战。
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试器
weixin_39908263的博客
11-26 1104
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hook 去Hook api 实现隐藏参数...
腾讯新开源的插件化框架 Shadow,原来是这么玩的
郭霖
08-28 1万+
/ 今日科技快讯 /8月27日,哔哩哔哩发布了2019年第二季度财报。月活用户连续攀升和营收结构趋于平衡,成为本季度B站成绩单的关键词。根据财报显示,第二季度,B...
hook NtReadVirtualMemory干扰杀软扫描
weixin_33978044的博客
09-10 568
    信息来源:邪恶八进制信息安全团队(www.eviloctal.com)文章作者:asm(http://www.sbasm.cn)写了个对抗扫描的东西,跟大家分享!技术含量不高,大牛飘过。一直以来写的都是ring3代码,现在很认真的拼凑了一份山寨版的驱动代码,很久没这么认真过了。希望哪位大牛能指点一下,指出代码中可能存在BOSD的隐患。其他人就跟我一起学习吧~~ 很久以来,做木马免杀...
过TP保护与解除游戏驱动保护(可以借鉴)
热门推荐
eldn__的专栏
02-23 4万+
TP 是国内腾讯游戏一款比较流行的驱动级保护程序.  负责保护腾讯每款游戏不被修改破坏,     也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会  例如OD与CE无法进行如以下操作:  无法附加进程,  无法打开进程,  游戏进程被隐藏无法在工具中查看到, 内存无法读取代码   内存修改后游戏掉线    无法双机进行调试   出现SX非法模块提示 ` 其实以上
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值