某游戏的反调试

最新推荐文章于 2023-11-13 23:45:10 发布
最新推荐文章于 2023-11-13 23:45:10 发布
阅读量2.9k 收藏 11
点赞数 3
分类专栏: 爱好
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/106958030
版权

最近比较无聊,有朋友就喊我去玩玩打枪的小游戏,然后由于我怕麻烦所以把游戏安装到虚拟机中了,然后我虚拟机开了双机调试器,其实是由于我比较懒不想关双机调试,导致游戏弹出窗口要求我关闭调试器。

小样,你叫我关就关岂不是很没有面子,然后我做了下面的事情。

首先看是不是检测了SharedUserData->KdDebuggerEnabled

这里手动在windbg修改KUSER_SHARED_DATA 的KdDebuggerEnabled,如下图

修改的命令是eb 0xFFFFF780`00000000+0x2d4 0

然后继续看有木有变化,发现没有变化,还是一样的弹出来,后来在ntloaddriver下一个断点看看,发现就没有加载驱动,算了,那就直接hook  NtQueryInformationThread、NtQuerySystemInformation、NtQueryObject这三个都是反调试的常见函数相信对反调试有了解的都知道,我这里是在内核中hook的,代码是cv的抄的titanhide,也是github上的一个项目。

还真是用的api去做的反调试,之后又用了单步来过反调试,(原理是由于调试器handle了单步异常,就不会发给异常处理函数,异常处理函数接收不到代表有调试器)如下图

这个解决方法也很简单hook KdpTrap在这里面直接过滤异常,代码如下

NTSTATUS HookKdpTrap(
	IN PKTRAP_FRAME 	TrapFrame,
	IN PKEXCEPTION_FRAME 	ExceptionFrame,
	IN PEXCEPTION_RECORD 	ExceptionRecord,
	IN PCONTEXT 	ContextRecord,
	IN KPROCESSOR_MODE 	PreviousMode,
	IN BOOLEAN 	SecondChanceException){
	
	PEPROCESS hp = PsGetCurrentProcess();
	//TASLogin
	//这里判单是不是单步异常 0x4000001E
	if (!_stricmp((char *)PsGetProcessImageFileName(hp), "hyxd.exe")&& ExceptionRecord->ExceptionCode== 0x4000001E){
		return STATUS_SUCCESS;
	}
	
	return hdbktrap(TrapFrame, ExceptionFrame, ExceptionRecord, ContextRecord, PreviousMode, SecondChanceException);
}

 

然后就没有然后了,游戏加载起来了

被遗弃的庸才
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ScyllaHide-vs13调试插件
04-19
ScyllaHide是一个高级的开源x64/x86用户模式Anti-Anti-Debug库。 它hook用户模式(ring3)中的各种函数以隐藏调试。 此工具旨在保留在用户模式(ring3)中。 如果您需要内核模式(ring0)Anti-Anti-Debug,请参阅TitanHide。 ScyllaHide在用户模式中尽可能隐蔽,目标是不干扰任何其他功能。
TitanHide:隐藏适用于x86x64的内核驱动程序
05-01
不要来这里打开与安装有关的问题,因错误检查0x109而崩溃:CRITICAL_STRUCTURE_CORRUPTION或有关如何禁用PatchGuard的问题。 我将永久禁止您使用问题跟踪器。 如果您不知道如何正确安装该工具,则不了解如何负责任地使用它,应该使用类的。 要禁用PatchGuard,请尝试使用 , 或 。 最新版本: 概述 TitanHide是旨在隐藏某些进程中的调试器的驱动程序。 驱动程序挂钩各种Nt *内核函数(使用SSDT表挂钩),并修改原始函数的返回值。 要隐藏进程,必须将带有ProcessID和要启用的隐藏选项的简单结构传递给驱动程序。 内部API旨在轻松添加钩子,这意味着添加功能确实非常容易。 这个项目的想法是和高喊的人cypher一起想到的! 特征 ProcessDebugFlags(NtQueryInformationProcess) ProcessDeb
Windows平台的Windbg/x64dbg/OllyDbg/VisualGDB调试器简介以及符号文件*.pdb总结(★firecat推荐★)
$firecat利白的代码足迹$
02-05 9729
一、Windbg Windbg是微软开发的一套调试器中的组件。WinDBG属于内核级别调试器,不仅可以用来调试应用程序,也可以调试内核级的代码,如驱动程序。Windbg由于其丰富的命令和对Windows的原生支持还有其易用性,是其他其他调试器望尘莫及的。如果安装了Windows SDK,一般会带有windbg.exe,gflags.exe和appverif.exe,安装路径是: Windows...
阿布debug调试插件使用
redis数据库安装及启用
09-01 769
阿布调试插件
x64dbg调试程序遇到异常:406D1388,MS_VC_EXCEPTION. E06D7363, CPP_EH_EXCEPTION
磁悬浮青蛙呱呱呱
07-16 7424
x64dbg调试某个程序遇到异常:第一次异常于00007FFA2EDDA839 (406D1388, MS_VC_EXCEPTION)!无视异常继续运行,加载一些dll文件后还是断在kernelbase.dll的00007FFA2EDDA839处,不过括号里面的内容变成了(E06D7363, CPP_EH_EXCEPTION). 这可能是某种调试的技术吧,在x64dbg中选择 调试 > 高级 > 隐藏调试器(PEB),便不会出现异常,能正常调试了。如果遇到调试技术更强的软件,...
Nt内核函数大全
10-07
windows内核下的NT函数,包括函数的原型,参数介绍,参数功能,内核开发参考工具。
内网渗透系列之信息收集(全网最详细版本!!!)
最新发布
LCW991207的博客
11-13 1054
内网渗透系列文章内网渗透一:信息收集。当我们拿到一台主机时,从外网打点进入内网,就要进行我们的内网渗透了,当我们所处内网的环境时,我们需要来判断当前我们拿到的主机在内网里是一个什么样的角色
JAVA黑白棋游戏源代码
01-28
9. **优化与调试**:优化代码性能,确保游戏运行流畅,同时添加调试工具和日志记录,以便于查找和修复潜在问题。 10. **多线程**:如果希望游戏在等待玩家输入时能进行其他操作,可以考虑使用多线程。例如,创建一...
游戏驱动保护
02-25
PG3(Process Guard 3)可能是某款游戏或安全软件的驱动保护系统,其目的是保护游戏进程免受篡改。通过分析和理解PG3的工作原理,开发者或黑客可以制作补丁来规避其保护。这个过程通常包括以下几个步骤: 1. 分析PG...
拼图游戏-源代码-C#
11-24
开发C#拼图游戏首先需要安装Visual Studio IDE,它提供了完善的开发环境和调试工具。创建一个新的Windows Forms Application项目,这将是游戏的主要界面。 2. **图形用户界面(GUI)设计** 使用Windows Forms设计...
x64dbg检测插件2017-1-21版
02-06
x64dbg检测插件2017年1月21日版本
对于调试的研究一
03-09
调试在代码保护中扮演着很重要的角色,虽然不能完全阻止攻击者,但是还是能加大攻击者的时间成本,一般与加壳结合使用,核心还是加壳部分。
进程隐藏工具--内核驱动实现
12-21
可以实现进程的遍历和隐藏,自己写的,希望大家批评指正,谢谢!
x64dbg-2018-02-24_13-52-中文版+源码
03-01
汇编调试程序,与ollydbg类似。直接运行release\x64\x64dbg.exe或者release\x32\x32dbg.exe启动程序。编译源码需要VS2013。
易语言游戏数据修改教程
04-08
这里提到的是针对某两款游戏的具体实现。 - **A-10. 两款游戏之二的挂机脚本** 同上,但针对另一款游戏。 - **A-11. 使用OD为变量设置断点** OD(OllyDbg)是一款著名的调试工具,可用于设置断点来观察变量的...
c语言万年历源码.zip
05-21
2. 实现日期转换函数,如计算某日期是该年的第几天,或根据第几天推出日期。 3. 判断是否为闰年的函数。 4. 用户交互部分,获取输入,调用上述函数进行计算,并显示结果。 5. 主函数main,作为程序执行的入口。 ...
Windows内核驱动Hook入门
随心动,随风行
07-16 8209
文章目录Hook框架选择基于微软规范的框架微软规范以外的框架简单介绍一下InfinityHook获取内核中的函数地址内核中导出的函数内核未导出的函数获取 SSDT ShadowSSDT 地址获取系统服务号手动获取获取并判断系统版本代码自动获取获取GUI相关的函数地址,还需附加GUI进程获取进程 PEPROCESS获取函数地址替换被Hook的函数 的函数实现获取函数原型如果被Hook的函数是一个高频函数,如何准确定位到是自己的程序调用分析不同情况下的返回值类型,调用的 R3 API 如何进行处理这些返回值分
聊一聊对一个 C# 商业程序的调试
一线码农的专栏
11-02 498
这篇文章无意对抗,只是对一个疑难问题寻求解决方案的探索,大家合理使用。
调试调试
ahoo110的博客
05-24 784
http://www.52pojie.cn/thread-271854-1-1.html
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值