郁金香vc过驱动保护

时间:2014-06-04 09:00:00
【文件属性】:

文件名称:郁金香vc过驱动保护

文件大小:160KB

文件格式:DOC

更新时间:2014-06-04 09:00:00

郁金香 驱动保护

郁金香VC++过驱动保护全套 免key版 天異赤提供 教程下载地址获取方法: 第一步:打开下方链接,填写QQ邮箱,系统会往QQ邮箱发一封确认订阅邮件 第二步:打开QQ邮箱查看邮件,确认订阅,订阅成功后系统会自动把下载地址和解压密码一起发送到你QQ邮箱http://list.qq.com/cgi-bin/qf_invite?id=585e150c59f30e1213af9a9352367711b2e45c217582cf35 最近时间有些多,一时对网络游戏的保护机制感兴趣了,来研究了一下,听说QQ系列的TesSafe.sys 有些强,于是拿来看看驱动都做了些什 么.以下是对DNF和QQffo(*幻想)研究结果(xp sp2) 在网上找了些TesSafe的资料,说TesSafe并不怎么样 现在这个版本保护的结果为:任务管理器中可以看到游戏进程,但OD和CE看不见,更不用说什么调试了,iceword可以 看到EPROCSS,但WSysCheck看 郁金香驱动 不见,自己写程序,也不能注入受保护的游戏进程. 可见,NtOpenProcess被Hook了,恢复SSDT后,没有任何效果,可见是inline hook , 用一般的软件检测一下,没有发现inline hook,看来hook得比较深,在网上一找资料才发现,原来的确够隐藏的 郁金香驱动 以下是上一个TesSafe版本的分析结果 从网上找出来的资料,TesSafe.sys保护原理(DNF的保护,我听说,QQ系列游戏的保护机制都是一样的) ================================================================= 保护得比较没有意思,强度也不高.可能隐藏性稍好一些. 用IDA反汇编TesSafe.sys可以看到: 这个驱动一加载,ExAllocPoolWithTag分配了一块内存,然后将一个函数写进这块内存,接着做好保护,然后 PsCreateSystemThread()创建的 郁金香驱动 线程调用ZwUnloadDriver将驱动卸载。虽 然驱动被卸载了,但是ExAllocPoolWithTag分配的内存仍然在起作用。 具体来看它如何进行保护: 郁金香驱动 先是得到了ObOpenObjectByPointer的地址,然后在 NtOpenProcess中搜索0xe8 ,也就是跳转指令,直到遇见RET为止。 一但得到0xe8,比较后面的四个字节,如果转换后为 ObOpenObjectByPointer的地址,就把这个地址用自己代理函数的地址转换后替换掉,达到 保护自己的目的。 郁金香驱动 用WinDbg看了看,果然在我的机器上:0x80570e41这个在 NtOpenProcess中的区域被TesSafe.sys修改,原来这里是:80570e41 e87c8dffff call nt!ObOpenObjectByPointer (80569bc2) 系统通过ObOpenObjectByPointer来通过 EPROCESS得到Handle返回给调用者。TENCENT在这里下了一个跳转:(TesSafe.sys加载后。)80570e41 e826542a78 call f881626c 很明显,系统执行到这里就会调用0x6881626c的函数,也就是 TesSafe.sys的 ObOpenObjectByPointer代理函数。这 样,Client.exe就会在这里被过滤掉,从而让R3程序无法得到QQT的句柄,从而保护进程。 郁金香驱动 ================================================================================= 我手头拿到的版本是2008年8月5号的,把TesSafe逆出来一看,比上个版本有所加强. 在这个新版本中,TesSafe一共InLine Hook了六个函数,我只逆出并恢复了五个 其中: 1. KeAttachProcess NtOpenProcess NtOpenThread 这三个函数的HOOK方式与上一个版本一样,就是上面蓝色字体的方法,把本应该call ObOpenObjectByPointe的代码修改成了call他自己的代码, 然后在他自己的代码中处理保护的进程 上面三个函数,原来正常的代码为 80581ce3 e8a658ffff call nt!ObOpenObjectByPointer (8057758e) 被HOOK后的代码变成了 call a8724af4(TesSafe自己搞出来的函数) lkd> u a8724af4 a8724af4+110 a8724af4 8b450c mov eax,dword ptr [ebp+0Ch] a8724af7 55 push ebp a8724af8 8bec mov ebp,esp a8724afa 81ec00010000 sub esp,100h ... 往下找, a8724bc6 ff25409372a8 jmp dword ptr ds:[0A8729340h] ;ObOpenObjectByPointer 可以找到跳到ObOpenObjectByPointer的代码 我先偿试着直接用WinDbg把80581ce3 call a8724af4后面的值给修改回来,可是一修改回来就蓝屏,不知道什么原因,搞不清楚. 于是没办法,我用另一种方法,直接在HOOK函数的入口点a8724af4修改为jmp ObOpenObjectByPointer,这样就成功恢复了,没有蓝屏 用这种方法把以上三个函数全恢复了 郁金香驱动 2. NtWriteVirtualMemory NtReadVirtualMemory 这两个函数被TesSafe把头几个字节HOOK了 lkd> u 805878d0 805878d0+180 ;NtWriteVirtualMemory 805878d0 b89e9707a9 mov eax,0A907979Eh 805878d5 ffe0 jmp eax 805878d7 e8a7c5f5ff call nt!CIsqrt+0x2d7 (804e3e83) 805878dc 64a124010000 mov eax,dword ptr fs:[00000124h] 上面这是NtWriteVirtualMemory的代码,头几个字节被修改了,直接恢复之就OK了, 上面inline hook的函数一共六个,我只恢复了五个,另一个函数不知道是什么,没弄出来 郁金香驱动 3. 在驱动中TesSafe还用了以下三个函数 PsSetCreateProcessNotifyRoutine PsSetCreateThreadNotifyRoutine PsSetLoadImageNotifyRoutine 可见,他设置了进程,线程创建和加载模块的回调函数,这几个函数设置的回调函数,不容易去除,我只能把 PspCreateProcessNotifyRoutine,PspCreateThreadNotifyRoutine,PspLoadImageNotifyRoutine 表全部清空, 分析结果: 经过我以上的处理,ce可以对进程进程读写操作,但不能附加调试,会失败, OD可以附加上去,可以读写内存,可以暂停程序,但还是不能调试,表现为暂停后,游戏程序就会出错 看来TesSafe这次吸收了以前的教训了,下了狠工夫,太烂了,HOOK这么多函数 至于为什么不能调试,有可能是还有一个函数我没有恢复的原因吧,我也没那么 多时间去研究了 总体来说,他次的保护做得还可以,但就不知道他的ring3保护做得如何了,我只分析了一下驱动,没有分析他的游戏进程, 如果游戏进程中没有做好保护,驱动保护就等同于摆设, 郁金香驱动 PspCreateProcessNotifyRoutine,PspCreateThreadNotifyRoutine,PspLoadImageNotifyRoutine 表全部清空代码如下: 其它的恢复代码都很简单,就不放出来了 RtlInitUnicodeString(&name,L"PsSetCreateProcessNotifyRoutine"); RemoveNotifyRoutine((PVOID)MmGetSystemRoutineAddress(&name)); RtlInitUnicodeString(&name,L"PsRemoveCreateThreadNotifyRoutine"); RemoveNotifyRoutine((PVOID)MmGetSystemRoutineAddress(&name)); RtlInitUnicodeString(&name,L"PsRemoveLoadImageNotifyRoutine"); RemoveNotifyRoutine((PVOID)MmGetSystemRoutineAddress(&name)); __declspec(naked) void DisableWPBitAndCli() { __asm { cli mov eax, cr0 and eax, 0xFFFEFFFF mov cr0, eax retn } } __declspec(naked) void EnableWPBitAndSti() { __asm { mov eax, cr0 or eax, 0x10000 mov cr0, eax sti retn } } NTSTATUS MydrvDispatch ( IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp ) { Irp->IoStatus.Status = STATUS_SUCCESS; Irp->IoStatus.Information = 0L; IoCompleteRequest( Irp, 0 ); return Irp->IoStatus.Status; } /* NTSTATUS RemoveNotifyRoutine(PVOID RemoveFunPointer) can remove all of the Routine of CreateThread and CreateProcess and LoadImage 注意传入参数为下面三者之一 PsSetCreateProcessNotifyRoutine PsRemoveCreateThreadNotifyRoutine PsRemoveLoadImageNotifyRoutine =========== by xp sp2 */ NTSTATUS RemoveNotifyRoutine(PVOID RemoveFunPointer) { ULONG AddrFun; ULONG* pRoutineList; ULONG i; pRoutineList = 0; AddrFun = (ULONG)RemoveFunPointer; DbgPrint("RemoveNotifyRoutine = %08X\n",RemoveFunPointer); // //the RemoveFunPointer could //only be PsRemoveLoadImageNotifyRoutine //or PsSetCreateProcessNotifyRoutine //or PsRemoveCreateThreadNotifyRoutine //find code bf 00975680 mov edi,offset nt!PsThreadType+0x44 (80569700) // for(i = AddrFun;i


网友评论

  • 大家别下了。。下了也没有用。是广告。。但还是谢谢你大公无私的分享了广告。。
  • 呵呵,根本就是广告贴啊
  • 学习中。。。很困惑啊
  • 很深奥,没看明白
  • 就是没找到视频。不过学习下文字教程也行。
  • 按照提供的地址下载下来了,正在学习中,谢谢。
  • 很深奥,没看明白