对付DNF硬件断点的NtGetContextThread的写法

最新推荐文章于 2023-04-18 10:40:11 发布
最新推荐文章于 2023-04-18 10:40:11 发布
阅读量5.2k 收藏 1
点赞数
初始化部分 
//NtGetContextThread(对付硬件断点) 
// HookAddr_NtGetContextThread = FindHookNtGetContextThread(); 
// dprintf("[ByPassTp] HookAddr_NtGetContextThread = %08X\r\n",HookAddr_NtGetContextThread); 
// JmpHookInitialFun(NtGetContextThread); 


挂钩部分 
//NtGetContextThreadStart(); 

恢复部分 
//NtGetContextThreadStop(); 

//*****************H部分****************************************************************************************** 

#pragma once 

#include "struct.h" 
#include "Common.h" 

typedef struct _THREADCONTEXTLINK 
{ 
LIST_ENTRY ListEntry; //主要是为了把数据连接到一起 
DWORD ThreadHandle; 
DWORD Dr0Seg; 
DWORD Dr1Seg; 
DWORD Dr2Seg; 
DWORD Dr3Seg; 
DWORD Dr6Seg; 
DWORD Dr7Seg; 
}THREADCONTEXTLINK,*PTHREADCONTEXTLINK; 

VOID ShowDrRegInfo(PCONTEXT pThreadContext); 
VOID ClearDrReg(PCONTEXT pThreadContext); 
VOID AddLinkTable(DWORD ThreadHandle, PCONTEXT pThreadContext); 
VOID RecoveryDrReg(DWORD ThreadHandle,PCONTEXT pThreadContext); 
DWORD ExsitsLinkTable(DWORD ThreadHandle); 

extern DWORD HookAddr_NtGetContextThread; 
DWORD FindHookNtGetContextThread(); 
VOID __stdcall HookFunc_NtGetContextThread();

//******************CPP部分***************************************************************************************  

#ifdef __cplusplus 
extern "C" { 
#endif 
#include <ntddk.h> 
#include <string.h> 
#ifdef __cplusplus 
}; // extern "C" 
#endif 

#include "_NtGetContextThread.h" 

DWORD ThreadHandle=0; 
PCONTEXT pThreadContext =0; 
LIST_ENTRY linkListHead; // 链表 
KSPIN_LOCK spin_lock; // 自旋锁 


//----------------- 
// 后继 
//----------------- 
// 前驱 
//----------------- 
// 数据域 
// ThreadHandle 
// Dr0 
// Dr1 
// ..... 
// Dr7 
//----------------- 
DWORD HookAddr_NtGetContextThread = 0; 
//NtGetContextThread(Thread+0x8,ThreadContext+0xC) 
//获得调用者的EPROCESS 
PEPROCESS ProcessEPROCESSForGetContextThread = NULL; //保存访问者的EPROCESS 
ANSI_STRING CurrentProcessNameForGetContextThread,GameProcessNameForGetContextThread; //保存进程名称 
__declspec(naked) VOID __stdcall HookFunc_NtGetContextThread() 
{ 
__asm 
{ 
pushad 
mov edx,DWORD ptr[ebp+0x8] //线程句柄 
mov ThreadHandle,edx 
mov ebx,DWORD ptr[ebp+0xC] //CONTEXT指针 
mov pThreadContext,ebx 
popad 
} 

ProcessEPROCESSForGetContextThread = IoGetCurrentProcess(); //-->EPROCESS 
//将调用者的进程名保存到CurrentProcessName中 
//dprintf("[ByPassTp] 调用进程:%s\r\n",(char *)((DWORD)ProcessEPROCESSForOpenProcess+0x174)); 
RtlInitAnsiString(&CurrentProcessNameForGetContextThread,(char *)((DWORD)ProcessEPROCESSForGetContextThread+0x174)); 
//将我们要比对的进程名放入GameProcessName 
RtlInitAnsiString(&GameProcessNameForGetContextThread,"DNF.exe"); 
if (RtlCompareString(&CurrentProcessNameForGetContextThread, &GameProcessNameForGetContextThread,TRUE) == 0) 
{ 

dprintf("[ByPassTp] DnfThreadHandle = %08X\n",ThreadHandle); 
dprintf("[ByPassTp] DnfpThreadContext = %08X\n",pThreadContext); 
ShowDrRegInfo(pThreadContext); 
AddLinkTable(ThreadHandle,pThreadContext); 
ClearDrReg(pThreadContext); 
dprintf("\n==============================================\n"); 
}else 
{ 
dprintf("[ByPassTp] %s 访问NtGetContextThread \n",(char *)((DWORD)ProcessEPROCESSForGetContextThread+0x174)); 
//RecoveryDrReg(ThreadHandle,pThreadContext); 
} 
//执行被覆盖的代码 
__asm 
{ 
mov eax, esi 
pop esi 
leave 
retn 8 
} 

} 

//恢复被隐藏的Dr寄存器 
VOID RecoveryDrReg(DWORD ThreadHandle,PCONTEXT pThreadContext) 
{ 
if (IsListEmpty(&linkListHead)) 
{ 
//链表为空 
dprintf("[ByPassTp] 链表为空!\n"); 
return; 
} 
PTHREADCONTEXTLINK pTarget = NULL; // 节点数据 
PLIST_ENTRY pListWalker = &linkListHead; //pListWalker 的节点的头部地址 
pTarget = CONTAINING_RECORD(&linkListHead, //用这个宏,可以得到节点的头部地址 
THREADCONTEXTLINK, 
ListEntry); 
dprintf("链表头 = %08X\n",pTarget); 
dprintf("线程句柄 = %08X\n",ThreadHandle); 
while(pTarget !=NULL) 
{ 
pListWalker = pListWalker->Blink; 
pTarget = CONTAINING_RECORD(pListWalker,THREADCONTEXTLINK,ListEntry); //用这个宏,可以得到包含着 
if (pTarget->ThreadHandle == ThreadHandle) 
{ 
pTarget->Dr0Seg = pThreadContext->Dr0; 
pTarget->Dr1Seg = pThreadContext->Dr1; 
pTarget->Dr2Seg = pThreadContext->Dr2; 
pTarget->Dr3Seg = pThreadContext->Dr3; 
pTarget->Dr6Seg = pThreadContext->Dr6; 
pTarget->Dr7Seg = pThreadContext->Dr7; 
break; 
} 
} 
return; 
} 

VOID AddLinkTable(DWORD ThreadHandle, PCONTEXT pThreadContext) 
{ 
PTHREADCONTEXTLINK pData = NULL; // 节点数据 
KIRQL irql; // 中断级别 

if (IsListEmpty(&linkListHead)) 
{ 
//如果链表为空 
KeInitializeSpinLock(&spin_lock); 
// 锁定,注意这里的irql是个指针 
KeAcquireSpinLock(&spin_lock, &irql); 
pData = (PTHREADCONTEXTLINK)ExAllocatePool(PagedPool,sizeof(THREADCONTEXTLINK)); 
if (NULL == pData) return; 
//拷贝第一个元素 
pData->ThreadHandle = ThreadHandle; 
//拷贝Dr寄存器的值 
pData->Dr0Seg = pThreadContext->Dr0; 
pData->Dr1Seg = pThreadContext->Dr1; 
pData->Dr2Seg = pThreadContext->Dr2; 
pData->Dr3Seg = pThreadContext->Dr3; 
pData->Dr6Seg = pThreadContext->Dr6; 
pData->Dr7Seg = pThreadContext->Dr7; 
//如果为空就插到头 
InsertHeadList(&linkListHead,&pData->ListEntry); 
// 解锁,注意这里的irql不是指针 
KeReleaseSpinLock(&spin_lock, irql); 
return; 
}else 
{ 
//如果不为空,先判断是不是存在了 
DWORD Value = ExsitsLinkTable(ThreadHandle); 
if (Value > 1) 
{ 
dprintf("存在了,不用插入了!"); 
KeInitializeSpinLock(&spin_lock); 
// 锁定,注意这里的irql是个指针 
KeAcquireSpinLock(&spin_lock, &irql); 
//拷贝Dr寄存器的值到链表元素里(更新Dr数据) 
((PTHREADCONTEXTLINK)Value)->Dr0Seg = pThreadContext->Dr0; 
((PTHREADCONTEXTLINK)Value)->Dr1Seg = pThreadContext->Dr1; 
((PTHREADCONTEXTLINK)Value)->Dr2Seg = pThreadContext->Dr2; 
((PTHREADCONTEXTLINK)Value)->Dr3Seg = pThreadContext->Dr3; 
((PTHREADCONTEXTLINK)Value)->Dr6Seg = pThreadContext->Dr6; 
((PTHREADCONTEXTLINK)Value)->Dr7Seg = pThreadContext->Dr7; 
KeReleaseSpinLock(&spin_lock, irql); 
return; 
}else 
{ 
KeInitializeSpinLock(&spin_lock); 
// 锁定,注意这里的irql是个指针 
KeAcquireSpinLock(&spin_lock, &irql); 
pData = (PTHREADCONTEXTLINK)ExAllocatePool(PagedPool,sizeof(THREADCONTEXTLINK)); 
if (NULL == pData) return; 
//拷贝第一个元素 
pData->ThreadHandle = ThreadHandle; 
//拷贝Dr寄存器的值 
pData->Dr0Seg = pThreadContext->Dr0; 
pData->Dr1Seg = pThreadContext->Dr1; 
pData->Dr2Seg = pThreadContext->Dr2; 
pData->Dr3Seg = pThreadContext->Dr3; 
pData->Dr6Seg = pThreadContext->Dr6; 
pData->Dr7Seg = pThreadContext->Dr7; 
//如果不为空就插到尾 
InsertTailList(&linkListHead,&pData->ListEntry); 
// 解锁,注意这里的irql不是指针 
KeReleaseSpinLock(&spin_lock, irql); 
return; 
} 
} 
} 


DWORD ExsitsLinkTable(DWORD ThreadHandle) 
{ 
if (IsListEmpty(&linkListHead)) 
{ 
//链表为空 
dprintf("[ByPassTp] 链表为空!\n"); 
return 1; 
} 

PTHREADCONTEXTLINK pTarget = NULL; // 节点数据 
PLIST_ENTRY pListWalker = &linkListHead; //pListWalker 的节点的头部地址 
pTarget = CONTAINING_RECORD(&linkListHead, //用这个宏,可以得到节点的头部地址 
THREADCONTEXTLINK, 
ListEntry); 
dprintf("链表头 = %08X\n",pTarget); 
while(pTarget !=NULL) 
{ 
pListWalker = pListWalker->Blink; 
pTarget = CONTAINING_RECORD(pListWalker,THREADCONTEXTLINK,ListEntry); //用这个宏,可以得到包含着 
if (pTarget->ThreadHandle == ThreadHandle) 
{ 
//存在了 
dprintf("元素地址 = %08X\n",pTarget); 
return (DWORD)pTarget; 
} 
} 
return 0; 
} 

VOID ShowDrRegInfo(PCONTEXT pThreadContext) 
{ 
dprintf("[ByPassTp] Dr0 = %08X\n",pThreadContext->Dr0); 
dprintf("[ByPassTp] Dr1 = %08X\n",pThreadContext->Dr1); 
dprintf("[ByPassTp] Dr2 = %08X\n",pThreadContext->Dr2); 
dprintf("[ByPassTp] Dr3 = %08X\n",pThreadContext->Dr3); 
dprintf("[ByPassTp] Dr6 = %08X\n",pThreadContext->Dr6); 
dprintf("[ByPassTp] Dr7 = %08X\n",pThreadContext->Dr7); 
} 

DWORD FindHookNtGetContextThread() 
{ 
// 初始化 
InitializeListHead(&linkListHead); 
dprintf("[ByPassTp] 链表头 = %08X\r\n",linkListHead); 
dprintf("[ByPassTp] 链表初始化完成!\r\n"); 
//----------------------------------- 
BYTE Characteristic0 = 0x8B, 
Characteristic1 = 0xC6, //+1 
Characteristic2 = 0x5E, //+2 
Characteristic3 = 0xC9, //+3 
Characteristic4 = 0xC2, //+4 
Characteristic5 = 0x08, //+5 
Characteristic6 = 0x00, //+6 
Characteristic7 = 0xCC; //+7 
//----------------------------------- 
BYTE *FindPointer = NULL; 
DWORD HookNtGetContextThreadAddress=0; 
__try 
{ 
//将FindPointer指向NtOpenProcess函数开始处 
FindPointer = (PBYTE)FindInKeServiceDescriptorTable(0x55); 
dprintf("[ByPassTp] NtGetContextThread = %08X\n",FindPointer); 
//遍历找特征码 
for (DWORD i=0;i<0x100;i++) 
{ 
if((*(FindPointer)==Characteristic0)&& 
(*(FindPointer+1)==Characteristic1)&& 
(*(FindPointer+2)==Characteristic2)&& 
(*(FindPointer+3)==Characteristic3)&& 
(*(FindPointer+4)==Characteristic4)&& 
(*(FindPointer+5)==Characteristic5)&& 
(*(FindPointer+6)==Characteristic6)&& 
(*(FindPointer+7)==Characteristic7)) 
{ 
HookNtGetContextThreadAddress = (DWORD)FindPointer; 
dprintf("[ByPassTp] HookNtGetContextThreadAddress = %08X\r\n",HookNtGetContextThreadAddress); 
break; 
} 
FindPointer++;//推进指针 
} 
} 
__except(EXCEPTION_EXECUTE_HANDLER) 
{ 
dprintf("[ByPassTp] FindHookNtGetContextThread中发生异常!\r\n"); 
dprintf("[ByPassTp] 程序将继续运行\r\n"); 
} 
return HookNtGetContextThreadAddress; 
} 

VOID ClearDrReg(PCONTEXT pThreadContext) 
{ 
dprintf("\n-------------ClearDrRegBegin-------------\n"); 
pThreadContext->Dr0 = 0; 
pThreadContext->Dr1 = 0; 
pThreadContext->Dr2 = 0; 
pThreadContext->Dr3 = 0; 
pThreadContext->Dr6 = 0; 
pThreadContext->Dr7 = 0; 
ShowDrRegInfo(pThreadContext); 
dprintf("\n-------------ClearDrRegEnd-------------\n"); 
}


sgzwiz
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
过HS硬断也就是NtGetContextThread
04-15
过HS硬断也就是NtGetContextThread
D3D8劫持,跟下硬件断点调试异常可以过CRC校验哦..
06-12
D3D8通用游戏劫持,之前在做DNF的时候需要调试一些地址异常,就弄了一个劫持去调试,现在没用了,具体有需要的自己去改,硬件断点调试异常可以过CRC校验哦..,有时间整理一个易语言的版本..
绕过游戏保护硬件断点检测
02-25
通用绕过游戏保护的硬件断点检测 调试游戏能轻松下断点不检测 兼容各大游戏保护各系统
VEH硬件断点劫持
07-17
VEH-硬件断点+dll劫持内存补丁vs2008源码
函数ntdll.dll RtlRemoteCall的实现过程
06-02
该函数的内部实现过程其实非常简单,主要是使用NtGetContextThread获得线程上下文,然后用NtWriteVirtualMemory写入参数信息,最后使用NtSetContextThread修改EIP信息,实现跳转。效果如下:。@ANormalUser。
VEH+硬件断点实现无痕HOOK
09-24
VS2019源码 VEH+硬件断点实现无痕HOOK
程序异常的堆栈查看
最新发布
joinpark的专栏
04-18 562
原先的上下文被保存,直接切换成了异常的上下文。可以看到最后调用了0地址,导致崩溃,查看实际代码,是加载dll,并后去地址func,结果func是空导致崩溃。这里看到的是异常发生后的堆栈,异常的处理,是一个异常处理的上下文。当程序异常时,使用vs查看可能会看不到正确的堆栈,例如。
漫谈兼容内核之十九:Windows线程间的强相互作用
周寅的专栏
03-13 1896
     在现代的计算机系统中,一项作业(Job)往往需要多个进程或线程的协作,而操作系统则要为进程或线程间的协作提供基础设施和机制上的支持。操作系统、特别是内核,提供什么样的设施和手段,系统中的进程之间和线程之间就会有什么样的相互作用。如果把一个系统比作一个社会,那么系统中的进程和线程就好像是社会中的成员。成员的行为和成员之间的关系有其“社会性”的一面、即互相影响的一面。例如一个线程的调度优先级
Windows NT内核函数大全
qq_42577465的博客
06-06 1544
Nt内核函数大全 NtLoadDriver服务控制管理器加载设备驱动. NtUnloadDriver服务控制管理器支持卸载指定的驱动程序. NtRegisterNewDevice加载新驱动文件. NtQueryIntervalProfile返回数据. NtSetIntervalProfile指定采样间隔. NtStartProfile开始取样. NtStopProfile停止采样...
2.VT调试器之无限硬件断点.rar
10-20
用VT调试器来代替传统的OD调试器
汇编级别反调试(2)
青月的成长记录吖
03-24 467
如果可执行文件最初是在没有上述结构的情况下创建的,或者 GlobalFlagsClear = 0,则在磁盘或内存中,该字段将具有非零值,表示存在隐藏的调试器。如果程序是32位的,但是运行在64位系统上,遇到 WOW64 “天堂门”技术,可以通过下面代码,获取到单独创建的PEB结构: 你可以参考Get 32bit PEB of another process from a x64 process 同样的需求: 64位进程需要获取运行在WOW64中32位程序的PEB环境。并在原始调用结束后恢复线程环境。
05-驱动中的自旋锁
ahaozi01的博客
07-16 798
链表,全局变量在多线程的使用中可能会存在多个地方同时调用,这时就会引出线程安全问题,这个时候就可以使用锁(不仅仅是自旋锁,当然自旋锁也能解决这个问题,需看实际情况选择) 自旋锁是内核中提供的一种高IRQL锁,用同步以及独占的方式访问某个资源。 下面给出一个自旋锁的申请和初始化: KSPIN_LOCK SLock; KeInitializeSpinLock(&SLock); KeInitializeSpinLock函数没有返回值。下面的代码展示了如何使用自旋锁。在KeAcquireSpinLock和K
KEINITIALIZESPINLOCK
hutao1101175783的专栏
04-21 167
KeInitializespinlock()初始化一个自旋锁,你可以在一小段时间(25us)内不让其他程序访问你的自旋锁直到你解锁。
ticket spinlock java_线程同步之详解自旋锁
weixin_34626306的博客
02-27 150
一 什么是自旋锁自旋锁(Spinlock)是一种广泛运用的底层同步机制。自旋锁是一个互斥设备,它只有两个值:“锁定”和“解锁”。它通常实现为某个整数值中的某个位。希望获得某个特定锁得代码测试相关的位。如果锁可用,则“锁定”被设置,而代码继续进入临界区;相反,如果锁被其他人获得,则代码进入忙循环(而不是休眠,这也是自旋锁和一般锁的区别)并重复检查这个锁,直到该锁可用为止,这就是自旋的过程。“测试并设...
WinDbg调试的前因后果
热门推荐
02-12 1万+
参考文章:文章一,文章二,文章三,文章四 事情的起因是这样子的,一次在qq群里有人问了这么一个问题 ,“如果我的程序崩溃了,我想把崩溃时的地址和寄存器值显示出来用什么方法啊”,看到这个问题就想起了有时用vs调试器调试程序时弹出的一个什么提示都没有的警告框,只是说某某地址访问冲突了,但是这些信息对于找到是程序什么地方出问题基本没有什么帮助,要是程序恰好有一个指针形状的东西指向了程序的某行代码那还好
过TP驱动4(硬件断点部分)
guoyi987的专栏
03-17 2720
NtGetThreadContext NtSetThreadContext 需要处理一下    概念性代码:   NTSTATUS MyNtGetThreadContext(HANDLE hThread, PCONTEXT pContext) { PEPROCESS p = IoGetCurrentProcess(); NTSTATUS status ; if ( s
代码实战硬件断点hook
01-18 1066
代码实战硬件断点hook!
线程同步(5):windows下各种锁
wentianyao的专栏
05-13 4176
windows下的线程同步方式有以下几种: 用户方式下的:原子锁,关键代码段                                                                       内核方式下的: 事件内核对象,可等待计时器,互斥量,信号量 以上在MSDN中都可以找到相应的函数和使用方法及针对的事务;当然还有一些比如原子操作,自旋锁,互斥锁等等,其中有些需要

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值