eac 反调试_自己动手制作一个过保护调试器

最新推荐文章于 2024-05-22 09:36:22 发布
最新推荐文章于 2024-05-22 09:36:22 发布
阅读量1.5k 收藏 1
点赞数
文章标签: eac 反调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39850697/article/details/111528273
版权

一、起因

本人是新手第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层。做调试器必须要hook api去隐藏调试器的参数,所以就有了今天这篇文章。

二、准备的东西

第一个版本的调试器保护程序就是今天要说的用到 ETW(Event Tracing for Windows) hook 去Hook api 实现隐藏参数的

ETW Hook(下文叫做 InfinityHook

原理简单点概括为 ETW在记录系统函数被调用事件的时候被调用的系统函数的指针还存放在栈上,能对应的指针从而实现Hook. 更多关于InfinityHook的可以百度一下 "InfinityHook" 看雪的大佬写的比我好,理解比我深入,就不卖丑了.

infinityhook的优点是简单好用,兼容性高,不像VT只能在intel cpu用而AMD必须另写SVM很麻烦,坏处是只能做r3层的api hook,R0的API是无法拦截的.github地址:https://github.com/everdox/InfinityHook

基本的思路:1.设置CreateProcessNotify去标记调试器进程的PID

2. 利用ObRegisterCallbacks注册process和thread的回调,当调试器打开进程时被反作弊的回调降权后再升级回去

3.hook NtQuerySystemInformation、NtSetInformationThread、NtQueryObject、NtQueryInformationThread、NtGetContextThread、NtQueryInformationProcess、pfn_NtGetContextThread XXOO anti debug

三、驱动编写

首先是抄了两个传家的ssdt函数获取的东西,通用的框架.不需要多言:extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)

{

DebugPrint("\n[DebugMessage] Driver Loading!\n");

RtlInitUnicodeString(&DeviceName, L"\\Device\\HuojiDebuger");

RtlInitUnicodeString(&Win32Device, L"\\DosDevices\\HuojiDebuger");

PDEVICE_OBJECT DeviceObject = NULL;

NTSTATUS status = IoCreateDevice(DriverObject,

0,

&DeviceName,

FILE_DEVICE_UNKNOWN,

FILE_DEVICE_SECURE_OPEN,

FALSE,

&DeviceObject);

if (!NT_SUCCESS(status))

{

DebugPrint("[DeugMessage] IoCreateDevice Error...\r\n");

return status;

}

if (!DeviceObject)

{

DebugPrint("[DeugMessage] Unexpected I/O Error...\r\n");

return STATUS_UNEXPECTED_IO_ERROR;

}

DebugPrint("[DeugMessage] Device %.*ws created successfully!\r\n", DeviceName.Length / sizeof(WCHAR), DeviceName.Buffer);

DriverObject->DriverUnload = DriverUnload;

if (!NT_SUCCESS(NTDLL::Initialize()))

{

DebugPrint("[DebugMessage] Ntdll::Initialize() failed...\r\n");

return STATUS_UNSUCCESSFUL;

}

//获取SSDT函数

pfn_NtQueryInformationProcess = (NTQUERYINFORMATIONPROCESS)SSDT::GetFunctionAddress("NtQueryInformationProcess");

DebugPrint("[DebugMessage] NtQueryInformationProcess: 0x%08X...\r\n", pfn_NtQueryInformationProcess);

pfn_NtGetContextThread = (NTGETCONTEXTHREAD)SSDT::GetFunctionAddress("NtGetContextThread");

DebugPrint("[DebugMessage] NtGetContextThread: 0x%08X...\r\n", pfn_NtGetContextThread);

pfn_NtQueryInformationThread = (NTQUERYINFORMATIONTHREAD)SSDT::GetFunctionAddress("NtQueryInformationThread");

DebugPrint("[DebugMessage] NtQueryInformationThread: 0x%08X...\r\n", pfn_NtQueryInformationThread);

pfn_NtQueryObject = (NTQUERYOBJECT)SSDT::GetFunctionAddress("NtQueryObject");

DebugPrint("[DebugMessage] NtQueryObject: 0x%08X...\r\n", pfn_NtQueryObject);

pfn_NtSetInformationThread = (NTSETINFORMATIONTHREAD)SSDT::GetFunctionAddress("NtSetInformationThread");

DebugPrint("[DebugMessage] NtSetInformationThread: 0x%08X...\r\n", pfn_NtSetInformationThread);

pfn_NtQuerySystemInformation = (NTQUERYSYSTEMINFORMATION)SSDT::GetFunctionAddress("NtQuerySystemInformation");

DebugPrint("[DebugMessage] NtQuerySystemInformation: 0x%08X...\r\n", pfn_NtQuerySystemInformation);

pfn_NtOpenProcess = (NTOPENPROCESS)SSDT::GetFunctionAddress("NtOpenProcess");

DebugPrint("[DebugMessage] NtOpenProcess: 0x%08X...\r\n", pfn_NtOpenProcess);

pfn_NtReadVirtualMemory = (NTREADVIRTUALMEMORY)SSDT::GetFunctionAddress("NtReadVirtualMemory");

DebugPrint("[DebugMessage] NtReadVirtualMemory: 0x%08X...\r\n", pfn_NtReadVirtualMemory);

pfn_NtWriteVirtualMemory = (NTWRITEVIRTUALMEMORY)SSDT::GetFunctionAddress("NtWriteVirtualMemory");

DebugPrint("[DebugMessage] NtWriteVirtualMemory: 0x%08X...\r\n", pfn_NtWriteVirtualMemory);

pfn_NtCreateThread = (NTCREATETHREAD)SSDT::GetFunctionAddress("NtCreateThread");

DebugPrint("[DebugMessage] NtCreateThread: 0x%08X...\r\n", pfn_NtCreateThread);

pfn_NtTerminateProcess = (NTTERMINATEPROCESS)SSDT::GetFunctionAddress("NtTerminateProcess");

DebugPrint("[DebugMessage] NtTerminateProcess: 0x%08X...\r\n", pfn_NtTerminateProcess);

// 绕过MmVerifyCallbackFunction。

PLDR_DATA_TABLE_ENTRY64 ldr = (PLDR_DATA_TABLE_ENTRY64)DriverObject->DriverSection;

ldr->Flags |= 0x20;

//安装回调

InstallCallBacks();

//初始化ETW HOOK

if (!NT_SUCCESS(IfhInitialize(SyscallCallBack)))

DebugPrint("[DebugMessage] IfhInitialize() failed...\r\n");

return STATUS_SUCCESS;

}

其中IfhInitialize(SyscallCallBack))

注册后在SyscallCallBack捕获我们的要hook api函数:void __fastcall SyscallCallBack(_In_ unsigned int SystemCallIndex, _Inout_ void** SystemCallFunction)

{

if (*SystemCallFunction == pfn_NtOpenProcess)

*SystemCallFunction = HookNtOpenProcess;

else if (*SystemCallFunction == pfn_NtReadVirtualMemory)

*SystemCallFunction = HookNtReadVirtualMemory;

else if (*SystemCallFunction == pfn_NtWriteVirtualMemory)

*SystemCallFunction = HookNtWriteVirtualMemory;

else if (*SystemCallFunction == pfn_NtCreateThread)

*SystemCallFunction = HookNtCreateThread;

if (*SystemCallFunction == pfn_NtQueryInformationProcess)

*SystemCallFunction = HookNtQueryInformationProcess;

else if (*SystemCallFunction == pfn_NtGetContextThread)

*Syste

最低0.47元/天 解锁文章
weixin_39850697
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Springboot 整合RabbitMq ,用心看完这一篇就够了
默默不代表沉默
09-04 49万+
该篇文章内容较多,包括有rabbitMq相关的一些简单理论介绍,provider消息推送实例,consumer消息消费实例,Direct、Topic、Fanout的使用,消息回调、手动确认等。 (但是关于rabbitMq的安装,就不介绍了) 在安装完rabbitMq后,输入http://ip:15672/,是可以看到一个简单后台管理界面的。 在这个界面里面我们可以做些什么? 可以手动创建............
eac 调试_一种可能被用于EAC保护的检测调试器方案
weixin_39727976的博客
12-19 2275
测试环境:Windows7 x64 虚拟机 win10 1809 x64 虚拟机0x0起因小伙伴 @DBDig 最近也在玩APEX这个游戏,因为这个游戏有EAC保护所以有调试,遂准备安排它。R3降权pass以后,下断没应还又卡死又崩溃的。于是他自写了一个exe来模拟调试器的行为,万万没想到,EAC竟然对我们的exe做了这种事!他居然hook了我们的 WaitForDebugEvent这个函数...
InfinityHookPro:让无限钩子在Windows上无界运行
gitblog_00002的博客
05-22 285
InfinityHookPro:让无限钩子在Windows上无界运行 项目地址:https://gitcode.com/FiYHer/InfinityHookPro 项目介绍 InfinityHookPro 是一个跨时代的Windows钩子库,最初基于InfinityHook进行改良,旨在解决从Windows 7到最新Windows 11版本的兼容性问题。这个开源项目由社区热情的开发者接力维护,通...
简单说一下 Steam平台 常用游戏的EAC调试保护 WIN7X64
落笔飞花笑百生的博客
05-09 1万+
内核层:3个内核线程用于不停的恢复THREAD PROCESS-CALLBACK 直接1字节anti会开启不了驱动 这里比以前的TP好点儿               CALLBACK里面抹去了句柄的读写内存权限 导致OD看不见进程 CE搜不了内存              附加 三个驱动里面改了线程暂停位的附加线程 导致OD附加 游戏直接消失 还有僵尸进程
简单绕过EAC作弊检测分析【1】
WorryFree
05-02 1万+
EAC一个内核作弊 “系统”,它可以检测任何东西。 想要欺骗它,你必须先加载一个内核驱动程序,然后才能防止它。
SIM800C通讯模块调试(一)
热门推荐
cqdawnxsg的博客
06-13 2万+
(一) (2018-03-18 17:42:33)[编辑][删除]转载▼标签: sim800c 通讯模块 at指令 vb程序 电话                                               SIM800C通讯模块调试(一)一、模块功能(1)TCP/IP:可以低功耗实现语音、SMS 和数据信息的传输。这也是最常使用的功能。(2)Telephone:可拨打和接听电话,...
windbg - 调试栈溢出及一个崩溃示例
tuan8888888的博客
02-15 6990
栈溢出 程序崩溃,调试显示栈溢出 c0000409 (Security check failure or stack buffer overrun) 系统在此应用程序中检测到基于堆栈的缓冲区溢出。此超限可能会允许恶意用户控制此应用程序。 EXCEPTION_RECORD: (.exr -1) ExceptionAddress: 08f276bd (nvoglv32!vk_optimusGetInstanceProcAddr+0x000c549d) ExceptionCode: c00004
XCode_LLDB_调试锦集
pre_eminent的JAVA学习园地
10-30 4954
长篇高能 Commands 来自:https://github.com/facebook/chisel There are many commands; here's a few: (Compatibility with iOS/Mac indicated at right) Command Description iOS OS X pvi
自己动手定制Chromium系列之四:Chromium 58的一个编译配置
羽化大刀Chrome专栏
03-30 8960
友情链接:如何使用Chrome插件,免费上谷歌,谷歌学术,点击打开链接aec_untrusted_delay_for_testing    Current value (from the default) = false      From //third_party/webrtc/modules/audio_processing/BUILD.gn:17    Disables the usual...
linux驱动程序调试常用方法
华的专栏
06-27 3209
驱动程序开发的一个重大难点就是不易调试。本文目的就是介绍驱动开发中常用的几种直接和间接的调试手段,它们是: 利用printk查看OOP消息利用strace利用内核内置的hacking选项利用ioctl方法利用/proc 文件系统使用kgdb 一、利用printk 这是驱动开发中最朴实无华,同时也是最常用和有效的手段。scull驱动的main.c第338行如下,就是使用printk
EAC作弊绕过工具源代码_NP_dbd绕过eac_绕过np_绕过eac_np作弊_
10-01
"NP_dbd绕过eac"是一个特定的术语,其中"NP"可能指的是No Protection(无保护)或者某种特殊的绕过技术。"dbd"可能是指《Dead by Daylight》这款游戏,因为该游戏使用了EAC作为其作弊系统。"绕过eac"表示试图避开...
employment_authorization_card_EAC_authorizationcard_employment_源
10-02
标题中的"employment_authorization_card_EAC_authorizationcard_employment_源"表明了这个压缩包文件主要涉及的是就业授权卡(Employment Authorization Card,简称EAC)的相关内容,特别是与源文件有关。...
Watch.Dogs.2.EAC.Bypass_ywgj_
10-02
EAC.exe很可能是这个解禁过程中的关键文件,它可能是一个修改后的EAC客户端或者一个工具,用于欺骗游戏系统,使其认为玩家的计算机符合EAC的要求,从而绕过其安全检查。但需要注意的是,使用这样的工具可能会违...
FAQ-185E1EAC_EN.zip
04-01
标题“FAQ-185E1EAC_EN.zip”表明这是一个包含英文常见问题解答(FAQ)的压缩文件,其中的“185E1EAC”可能是产品型号或特定问题的标识符。这个文件可能专注于解答与该标识符相关的产品或技术的相关问题,帮助用户...
EAC_dbp-master_DBPmaster_
10-01
标题"EAC_dbp-master_DBPmaster_"和描述"dbp master This plugin employs a number of methods to hide debugger detection"提到了一个名为"dbp master"的插件,它主要用于隐藏调试器检测。这暗示我们讨论的主题涉及...
销售指标完成对比图.xlsx
08-05
销售管理表,财务报表,占比分析,消费能力分析,日程安排,提成表,考核表 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
新客户开发分级标准(示例).xlsx
08-05
销售管理表,财务报表,占比分析,消费能力分析,日程安排,提成表,考核表 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
面向对象C++重要培训资料分享14面向对象C++开发技术资料.zip
最新发布
08-05
面向对象C++重要培训资料分享14面向对象C++开发技术资料.zip
广州致远EAC-1000嵌入式工控机:技术规格与应用
"广州致远EAC-1000是一款由广州致远电子有限公司设计的嵌入式工业计算机,其核心是基于Intel的XScale架构PXA270处理器,频率可调至104MHz到520MHz。这款工控机配备了丰富的接口,包括1路CAN总线、1路10/100M自适应...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值