过TesSafe反WinDbg双机调试

最新推荐文章于 2021-04-04 17:59:39 发布
最新推荐文章于 2021-04-04 17:59:39 发布
阅读量3k 收藏 6
点赞数
分类专栏: 内核驱动全部集合

貌似论坛里面有关游戏的贴子都很火,所以发篇帖子涨点人气。

正文:
在论坛搜索了下发现去年的时候有人发过一篇过TesSafe反双机调试的帖子,但是现在已经过时了,并且帖子里面也没提到怎么处理被IAT HOOK的两个函数。在这里呢,我就给大家彻底的讲明白吧。

先开ARK工具看看游戏干了什么。



从图片可以看到游戏启动的时候对ntkrnlmp.exe中的kdcom.KdSendPacket和kdcom.KdReceivePacket两个函数进行了HOOK,通过函数名称就能猜测到函数的用途,一个发包,一个收包,都是com口用来通信的。

怎样恢复这两个函数呢,方面有很多种,列举两个。

1、自己映射内核文件ntkrnlmp.exe,然后通过PE结构遍历ntkrnlmp.exe的导入表,获取导入表中KdSendPacket、KdReceivePacket两个函数的地址在ntkrnlmp.exe中的偏移,然后利用这个偏移修改系统正常运行的ntkrnlmp.exe导入表中的两个函数地址。

但是这里还有一个问题就是,导入表中KdReceivePacket这个位置有代码校验,只要被修改就会重启,所以还得绕过代码校验。所以不推荐这种方法。

2、通过图片可以看到被IATHOOK的两个函数被挂钩后的新地址分别为0xB07920E6,0xB07920F6,相差16个字节。既然不想直接去恢复导入表,那么我们可以在这两个被挂钩后的地址中再跳回正常的KdSendPacket、KdReceivePacket。或许有人又有疑问,这两个挂钩地址处没有代码校验吗,答案是也有校验,只要修改前面几个字节,同样会重启。但是游戏只检测了前面的几个字节,所以只要在靠后一点的地方修改就不会被检测到。



修改后


另外一个也是同样处理函数


这样两个被IATHOOK的函数就相当于被恢复了。

但是上面我们是用工具进行恢复的,而TP启动的时候就已经调用了KdDisableDebugger禁止了WinDbg双机调试,这时候就算恢复了上面的两个函数,同样也无法双机调试。

之所以先讲怎样处理上面的两个函数是因为在TP驱动加载的时候首先进行了IATHOOK,然后调用KdDisableDebugger,如果你先处理KdDisableDebugger,而没有恢复上面两个函数的话,系统会直接重启。

因为要赶在TP调用KdDisableDebugger之前恢复IATHOOK,那么就需要设置一个系统回调函数,然后在加载TP驱动的时候进入我们的回调函数,这时TP已经加载完成,但是还没有开始运行,所以我们可以直接定位到 挂钩地址 处 写入跳转代码到正常的函数。

 

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

//恢复两个被iat hook的函数

 

VOID RenewIATHook(ULONG ImageBase)         

{

    // 模块:KDCOM.dll,函数名称:KdSendPacket,函数地址:ba5a91b2,Hint:0007

    //模块:KDCOM.dll,函数名称:KdReceivePacket,函数地址:ba5a8f4c,Hint:0004

 

    ULONG uKdSend = 0xba5a91b2;     //KdSendPacket的地址硬编码

    ULONG uKdReceive = 0xba5a8f4c;  //KeReceivePacket地址

 

    //因为这两个函数不是导出的,所以我为了省事,就直接这样写了

 

    ULONG uJmpKdSend = ImageBase + 0x20EE;

    //KdSendPacket挂钩函数地址 = ImageBase + 0x20EE; 硬编码 <img src="/view/img/face/16.gif" width="24" height="24">

 

    ULONG uJmpKdReceive = ImageBase + 0x20FE;

 

    ULONG jmpAddr1 = uKdSend - uJmpKdSend - 5;

    ULONG jmpAddr2 = uKdReceive - uJmpKdReceive - 5;

 

    __asm

    {  

        cli

            pushad

            mov     eax,uJmpKdSend

            mov     byte ptr [eax],0xE9

            mov     ebx,jmpAddr1

            mov     dword ptr [eax+1],ebx

 

            mov     eax,uJmpKdReceive

            mov     byte ptr [eax],0xE9

            mov     ebx,jmpAddr2

            mov     dword ptr [eax+1],ebx

 

            popad

            sti

    }

}

 

 

ULONG strEnd(PWCHAR dest,PWCHAR sub)

{

    if (dest == NULL && sub == NULL)

        return 0;

    int ulDest = wcslen(dest);

    int ulSub = wcslen(sub);

 

    if (ulSub == 0 || ulSub > ulDest)

        return 0;

    return !wcscmp(&dest[ulDest - ulSub],sub);

}

 

VOID NotifyRoutine(IN PUNICODE_STRING  FullImageName,

    IN HANDLE  ProcessId, // where image is mapped

    IN PIMAGE_INFO  ImageInfo)

{

              //这个strEnd是一个判断字符串是不是以***结束

         //我记得wdk中有一个函数可以判断的,但是记不起来了,知道的回复下啊<img src="/view/img/face/50.gif" width="24" height="24">

    if (strEnd(FullImageName->Buffer,L"TesSafe.sys"))

    {

                                 //判断加载的驱动是不是TP

        KdPrint(("TesSafe.sys:ImageBase:%08x \t size: %06x\n",

ImageInfo->ImageBase,ImageInfo->ImageSize));

        RenewIATHook((ULONG)ImageInfo->ImageBase);  

    }

}

 

 

#pragma alloc_text("INIT")

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegPath){

    NTSTATUS status;

    UNREFERENCED_PARAMETER(RegPath);

 

    DriverObject->DriverUnload = DriverUnload;

    for (int i=0;i<IRP_MJ_MAXIMUM_FUNCTION;i++)

        DriverObject->MajorFunction[i] = DriverDispatch;

 

 

    KdPrint(("Init\n"));

    PsSetLoadImageNotifyRoutine(NotifyRoutine);

 

    return STATUS_SUCCESS;

}

 


通过上面的代码就可以对IATHOOK的两个函数进行恢复

编译上面的代码,然后重启虚拟机,加载编译好的驱动运行。

下面就来处理TP调用KdDisableDebugger函数来禁止调试

WinDbg中输入bp KdDisableDebugger

启动DNF登陆器,然后WinDbg断下,



直接修改首行代码 ret 返回即可。

eb 804f8886 0xC3

单步走一下,返回上层函数。

 

 

 

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

b094dfd9 57              push    edi

b094dfda 8b782c          mov     edi,dword ptr [eax+2Ch]

b094dfdd 33f1            xor     esi,ecx

b094dfdf 33f9            xor     edi,ecx

b094dfe1 eb4b            jmp     TesSafe+0x702e (b094e02e)

b094dfe3 803d6da295b000  cmp     byte ptr [TesSafe+0x1326d (b095a26d)],0

b094dfea 7516            jne     TesSafe+0x7002 (b094e002)

b094dfec 688a4d6e43      push    436E4D8Ah

b094dff1 6876426e57      push    576E4276h

b094dff6 e873caffff      call    TesSafe+0x3a6e (b094aa6e)

b094dffb c6056da295b001  mov     byte ptr [TesSafe+0x1326d (b095a26d)],1

b094e002 85ff            test    edi,edi

b094e004 7404            je      TesSafe+0x700a (b094e00a)

b094e006 ffd7            call    edi           //call KdDisableDebugger

b094e008 eb24            jmp     TesSafe+0x702e (b094e02e)

b094e00a 803d6ea295b000  cmp     byte ptr [TesSafe+0x1326e (b095a26e)],0

b094e011 751b            jne     TesSafe+0x702e (b094e02e)

b094e013 6812010000      push    112h

b094e018 68e64d6e43      push    436E4DE6h

b094e01d 6873426e57      push    576E4273h

b094e022 e865caffff      call    TesSafe+0x3a8c (b094aa8c)

b094e027 c6056ea295b001  mov     byte ptr [TesSafe+0x1326e (b095a26e)],1

b094e02e 803e00          cmp     byte ptr [esi],0

b094e031 75b0            jne     TesSafe+0x6fe3 (b094dfe3)

 

//跳回去,继续call KdDisableDebugger  ,应该是个while循环,所以把这里nop掉

//ew b094e031 0x9090

 

b094e033 5f              pop     edi

b094e034 5e              pop     esi

b094e035 c3              ret

 


输入g,继续运行,WinDbg再次断下。

查看调用堆栈:TesSafe+0x7124

 

 

 

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

b094e112 a16ceb95b0      mov     eax,dword ptr [TesSafe+0x17b6c (b095eb6c)]

b094e117 8b402c          mov     eax,dword ptr [eax+2Ch]

b094e11a 330568eb95b0    xor     eax,dword ptr [TesSafe+0x17b68 (b095eb68)]

b094e120 7404            je      TesSafe+0x7126 (b094e126)

b094e122 ffd0            call    eax         //call KdDisableDebugger

b094e124 eb24            jmp     TesSafe+0x714a (b094e14a)

b094e126 803d72a295b000  cmp     byte ptr [TesSafe+0x13272 (b095a272)],0

b094e12d 751b            jne     TesSafe+0x714a (b094e14a)

b094e12f 6882010000      push    182h

b094e134 68e64d6e43      push    436E4DE6h

b094e139 6873426e57      push    576E4273h

b094e13e e849c9ffff      call    TesSafe+0x3a8c (b094aa8c)

b094e143 c60572a295b001  mov     byte ptr [TesSafe+0x13272 (b095a272)],1

b094e14a 8b0d64a295b0    mov     ecx,dword ptr [TesSafe+0x13264 (b095a264)]

//跳到这里,dd b095a264的值是8055d664

//kd> u 8055d664

//nt!KiDebugRoutine:            

 

b094e150 85c9            test    ecx,ecx

b094e152 740f            je      TesSafe+0x7163 (b094e163)

b094e154 a168a295b0      mov     eax,dword ptr [TesSafe+0x13268 (b095a268)]

//这里eax = nt!KdpStub:

 

b094e159 85c0            test    eax,eax

b094e15b 7406            je      TesSafe+0x7163 (b094e163)

b094e15d 3901            cmp     dword ptr [ecx],eax

b094e15f 7402            je      TesSafe+0x7163 (b094e163)

b094e161 8901            mov     dword ptr [ecx],eax

//根据上面的ecx,跟eax的值来看 应该是设置debug函数之类的。

//测试后,发现这条代码执行后,windbg失去通讯。所以直接nop掉

 

 

b094e163 c3              ret

b094e164 cc              int     3

b094e165 cc              int     3

 


输入g,继续运行,这时WinDbg输出
Shutdown occurred at (Wed Apr 24 11:59:41.193 2013 (UTC + 8:00))...unloading all symbol tables.
Waiting to reconnect...

看样子好像是重启了? 在切换到虚拟机发现并没有重启。

这个地方经过测试发现如果没有恢复上面的两个IATHOOK,系统就直接死掉了,如果恢复了,虽然windbg输出了上面的信息,但切换到虚拟机之后发现游戏已经到了 输入账号密码 界面。

到了这一步,仍然没完,将虚拟机断下来,再次下bp KdDisableDebugger断点。

发现系统再次断下,因为我们已经在KdDisableDebugger的第一行代码ret了。所以不用担心WinDbg会断开,输入g,再次运行,再次断下。

发现这里应该有一个定时器在不断的调用KdDisableDebugger。

 

 

 

 

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

b0965112 a16c5b97b0      mov     eax,dword ptr ds:[B0975B6Ch]

b0965117 8b402c          mov     eax,dword ptr [eax+2Ch]

b096511a 3305685b97b0    xor     eax,dword ptr ds:[0B0975B68h]

b0965120 7404            je      b0965126

b0965122 ffd0            call    eax           //call KdDisableDebugger

b0965124 eb24            jmp     b096514a

b0965126 803d721297b000  cmp     byte ptr ds:[0B0971272h],0

b096512d 751b            jne     b096514a

b096512f 6882010000      push    182h

b0965134 68e64d6e43      push    436E4DE6h

b0965139 6873426e57      push    576E4273h

b096513e e849c9ffff      call    b0961a8c

b0965143 c605721297b001  mov     byte ptr ds:[0B0971272h],1

b096514a 8b0d641297b0    mov     ecx,dword ptr ds:[0B0971264h]

b0965150 85c9            test    ecx,ecx

b0965152 740f            je      b0965163

b0965154 a1681297b0      mov     eax,dword ptr ds:[B0971268h]

b0965159 85c0            test    eax,eax

b096515b 7406            je      b0965163

b096515d 3901            cmp     dword ptr [ecx],eax

b096515f 7402            je      b0965163

b0965161 90              nop

b0965162 90              nop

b0965163 c3              ret

 


这里怎么处理,直接把call eax nop掉吗,很不幸,哪条代码也有校验,一改就重启了。不过哪个位置不能改,我们可以改别的位置。在这个函数头部b0965112 的位置直接 jmp b0965124 跳过call eax即可。

这样就可以完全的解决了TP的反双机调试。

以前的那篇文章里面提到在登陆游戏过程中还会调用KdDisableDebugger,但我测试之后发现直到进入游戏里面也没有再断下来过。。。



然后,可以去邪恶了。。。。

源码也贴上吧,都是用硬编码写的,自己修改修改就可以了。

 

 

「已注销」
关注
专栏目录
Win10 1903过TP的双机调试
被遗弃的庸才博客
11-16 4734
了解内核知识已经有一段时间了,想双机调试一下XP,网上也找了不少资料。https://bbs.pediy.com/thread-248912.htm https://blog.csdn.net/kingswb/article/details/51194105差不多我用到的大部分代码都是从上面cv(Ctrl+c---->Ctrl+v)下来的1、首先解决The context is parti...
win764过tp双机调试
01-16
过win764位tp双机,可改写下代码也可以过32位的。。。。
双机调试的探索
kingswb的博客
04-19 3002
标 题: 对双机调试的探索 作 者: farmtest 时 间: 2014-01-21,12:26:15 链 接: http://bbs.pediy.com/showthread.php?t=183925 最近学习游戏保护,发现VM+WINDBG双机调试不能使用,以游戏保护*P为例,经过论坛搜索,发现有以下几点动了手脚: 1.  kdDebuggerEnabled变量不停的清零,清零
TPdisabledebugger.zip_tp双机调试_双机调试_过tp_过tp保护驱动_过保护.sys
07-14
过TP驱动保护之禁止双机调试源码,修改Fuckdisabledebugger函数与TesSafe.sys
双机调试
07-15
### 过双机调试知识点详解 #### 一、双机调试概述 在软件开发领域,双机调试(Dual Machine Debugging)是指在一个调试过程中同时控制并观察两个或多个独立计算机系统上的程序执行情况的技术。这种调试方式常用于...
TesSafe[1].sys ASM原码
03-25
TesSafe[1].sys ASM原码
过驱动保护之TesSafe(读写内存OD能附加下硬件断点) (1).pdf
最新发布
11-11
。。。
恢复TesSafe.sysHOOK掉的函数
01-31
恢复TesSafe.sysHOOK掉的函数,源代码
分享Win10 1903过TP的双机调试问题
10-15
本文给大家分享的是Win10 1903过TP的双机调试问题,通过实例代码截图的形式给大家展示的非常详细,需要的朋友参考下
过Tp 双击调试
05-02
过Tp 的双机调试代码和工程,里面有比较详细的代码注释,好东西 希望可以 和大家一起分享
双机调试,某p_win_7_X86_sp1
01-15
win7_x86_sp1版本下过掉了双机调试,可中断,.先启动游戏虚拟机卡主后连接调试
解决TX游戏屏蔽虚拟机双机调试的功能代码
03-04
解决TX游戏屏蔽虚拟机双机调试的功能代码
全局过TP驱动保护检测
11-29
全局过TP驱动保护检测 过TX保护
操作系统 实验2 windbg双机调试+系统调用过程
Lawliet_233的博客
11-09 2037
1.配置windbg双机调试环境,给出关键步骤及最终成功断下的截图。 1).在安装好的win7虚拟机设置中,添加一个串行端口,并选择输出到命名管道,具体设置如图。 这样设置之后,在后面的步骤中,主机便能通过这个管道与虚拟机相连进行双机调试。 2)在win7虚拟机中以管理员权限打开命令行并做以下设置 3)在本机里创建一个windbg的快捷方式,在目标一栏里加上以下代码 -...
简单介绍 调试
Misaka10046的博客
04-04 567
DebugPort KdDisableDebugger 禁用内核调试 IsDebuggerPresent/CheckRemoteDebuggerPresent Hook HOOK一些与调试相关的函数 NtOpenThread:防止调试器在程序内部创建线程 NtOpenProcess:防止OD等调试工具在进程列表中看到 KIAttachProcess:防止被附加上 NtReadVirtualMemory:防止被读内存 NtWriteVirtualMemory:防止内存被写 KdReceivePacket:K
过TP驱动5(双击调试)
guoyi987的专栏
03-18 1531
windbg下,ret掉KdDisableDebugger。   然后TP驱动里面会出现死循环,从KdDisableDebugger开始单步跟,nop掉循环判断,   继续单步跟,会发现紧接着一个自写的KdDisableDebugger函数,同样咔嚓掉。
WinDebug双机调试
Risingstar
04-23 457
Windows 7 创建Debug 启动项: bcdedit /copy {current} /d "Kernel Debug" bcdedit /debug {current} on bcdedit /set {current} debugtype serial bcdedit /set {current} debugport 1 bcdedit /set {current} bau...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值