过TP保护与解除游戏驱动保护
2013-09-04 18:41
579 查看
TP 是国内腾讯游戏一款比较流行的驱动级保护程序.
负责保护腾讯每款游戏不被修改破坏,
也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会 例如OD与CE无法进行如以下操作:
无法附加进程,
无法打开进程,
游戏进程被隐藏无法在工具中查看到,
内存无法读取代码
内存修改后游戏掉线
无法双机进行调试
出现SX非法模块提示 `
其实以上说的这么多限制 都是因为TP保护造成的.其实这些东西研究了很久后,发现其实就是黑色老大常说的APIHOOK这方面. 7%32E1F)%
例如DNF的TP保护就是HOOK了以下几个API函数来禁止上面刚才说的那些:
NtOpenThread //这是TP防止调试器在它体内创建线程
NtOpenProcess //这是TP防止OD等在进程列表看到游戏进程
KiAttachProcess //这是TP防止其他软件附加它
NtReadVirtualMemory //这是TP防止别人读取它的内存
NtWriteVirtualMemory //这是TP防止别人在它的内存里面乱写乱画
KDCOM.dll:KdReceivePacket //这是TP这两个是COM串口的接受和发送数据
KDCOM.dll:KdSendPacket //这是TP主要用来方式别人双机调试,TP使用了KdDisableDebugger来禁用双机调试.
TP通过将以上这几个API进行HOOK后 来保护游戏, 看过独立团第四版本易语言辅助教程的人 应该知道 以上的那几个API函数 开头是 Nt 的吧
Nt开头的是ntdll.dll库中的函数,也正是黑色衬衣老大在第四版本易语言辅助教程中有一篇课程是讲 SSDTHOOK与恢复这方面的.
那么TP保护它比较变态,并对debugport进行了疯狂的清零操作甚至还包括EPROCESS+70\+74\+78等几处位置处理的手段通常都是向64端口写入FE导致计算机被重启。
下面我简单看说下以上关键的几个APIHOOK:
1.KiAttachProcess 函数
2.NtReadVirtualMemory 内存函数
3.NtWriteVirtualMemory 内存函数
4.NtOpenThread 线程函数
5.NtOpenProcess 进程函数
那么前3个函数是可以直接SSDT恢复的 第四版本易语言辅助教程老大讲了如何恢复的 不明白的可以自己去看教程。
第4个函数是有监视,如果直接恢复的话电脑会即刻重启.(TP蛮变态)
第5个函数和ring3有驱动通信,直接恢复这个函数的话 游戏会在1分钟内弹出SX非法模块提示.
既然我们现在知道了TP保护的保护特点和这几个API分析后的结果.
接下来就是要做出相应的解除TP保护(也就是这些APIHOOK)
下面我在梳理一下头绪给出相应的解决方案
1.首先直接恢复 第1、2、3处的SSDT表中的HOOK
2.绕过4、5处的HOOK 不采用直接恢复
3.将TP保护程序中的debugport清零的内核线程干掉 停止该线程继续运行.
4.恢复硬件断点
但是要有一个先后的逻辑顺序
因为内核有一个线程负责监视几个地方,必须要先干掉它。
但是这个内容我写在了处理debugport清零的一起,也就是第3步。所以大家在照搬源码的时候注意代码执行次序。
下面我们就开始写解除TP保护的代码,因为本人喜欢C++ 所以是c++编写,如果是使用易语言的话 就自己翻译过来吧
先从简单的工作讲起,恢复1、2、3处的HOOK
KiAttachProcess函数的处理的代码:
负责保护腾讯每款游戏不被修改破坏,
也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会 例如OD与CE无法进行如以下操作:
无法附加进程,
无法打开进程,
游戏进程被隐藏无法在工具中查看到,
内存无法读取代码
内存修改后游戏掉线
无法双机进行调试
出现SX非法模块提示 `
其实以上说的这么多限制 都是因为TP保护造成的.其实这些东西研究了很久后,发现其实就是黑色老大常说的APIHOOK这方面. 7%32E1F)%
例如DNF的TP保护就是HOOK了以下几个API函数来禁止上面刚才说的那些:
NtOpenThread //这是TP防止调试器在它体内创建线程
NtOpenProcess //这是TP防止OD等在进程列表看到游戏进程
KiAttachProcess //这是TP防止其他软件附加它
NtReadVirtualMemory //这是TP防止别人读取它的内存
NtWriteVirtualMemory //这是TP防止别人在它的内存里面乱写乱画
KDCOM.dll:KdReceivePacket //这是TP这两个是COM串口的接受和发送数据
KDCOM.dll:KdSendPacket //这是TP主要用来方式别人双机调试,TP使用了KdDisableDebugger来禁用双机调试.
TP通过将以上这几个API进行HOOK后 来保护游戏, 看过独立团第四版本易语言辅助教程的人 应该知道 以上的那几个API函数 开头是 Nt 的吧
Nt开头的是ntdll.dll库中的函数,也正是黑色衬衣老大在第四版本易语言辅助教程中有一篇课程是讲 SSDTHOOK与恢复这方面的.
那么TP保护它比较变态,并对debugport进行了疯狂的清零操作甚至还包括EPROCESS+70\+74\+78等几处位置处理的手段通常都是向64端口写入FE导致计算机被重启。
下面我简单看说下以上关键的几个APIHOOK:
1.KiAttachProcess 函数
2.NtReadVirtualMemory 内存函数
3.NtWriteVirtualMemory 内存函数
4.NtOpenThread 线程函数
5.NtOpenProcess 进程函数
那么前3个函数是可以直接SSDT恢复的 第四版本易语言辅助教程老大讲了如何恢复的 不明白的可以自己去看教程。
第4个函数是有监视,如果直接恢复的话电脑会即刻重启.(TP蛮变态)
第5个函数和ring3有驱动通信,直接恢复这个函数的话 游戏会在1分钟内弹出SX非法模块提示.
既然我们现在知道了TP保护的保护特点和这几个API分析后的结果.
接下来就是要做出相应的解除TP保护(也就是这些APIHOOK)
下面我在梳理一下头绪给出相应的解决方案
1.首先直接恢复 第1、2、3处的SSDT表中的HOOK
2.绕过4、5处的HOOK 不采用直接恢复
3.将TP保护程序中的debugport清零的内核线程干掉 停止该线程继续运行.
4.恢复硬件断点
但是要有一个先后的逻辑顺序
因为内核有一个线程负责监视几个地方,必须要先干掉它。
但是这个内容我写在了处理debugport清零的一起,也就是第3步。所以大家在照搬源码的时候注意代码执行次序。
下面我们就开始写解除TP保护的代码,因为本人喜欢C++ 所以是c++编写,如果是使用易语言的话 就自己翻译过来吧
先从简单的工作讲起,恢复1、2、3处的HOOK
KiAttachProcess函数的处理的代码:
////////////////////////////////////////////////////////////////////// // 名称: Nakd_KiAttachProcess // 功能: My_RecoveryHook_KiAttachProcess的中继函数 // 参数: // 返回: ////////////////////////////////////////////////////////////////////// static NAKED VOID Nakd_KiAttachProcess() { __asm { mov edi,edi push ebp mov ebp,esp push ebx push esi mov eax,KiAttachProcessAddress //注意这个是全局变量 BYTE* add eax,7 jmp eax } } ////////////////////////////////////////////////////////////////////// // 名称: RecoveryHook_KiAttachProcess // 功能: 解除游戏保护对_KiAttachProcess函数的HOOK(DNF) // 参数: // 返回: 状态 ////////////////////////////////////////////////////////////////////// NTSTATUS My_RecoveryHook_KiAttachProcess() { BYTE *KeAttachProcessAddress = NULL; //KeAttachProcess函数地址 BYTE *p; BYTE MovEaxAddress[5] = {0xB8,0,0,0,0}; // BYTE JmpEax[2] = {0xff,0xe0}; KIRQL Irql; //特征码 BYTE Signature1 = 0x56, //p-1 Signature2 = 0x57, //p-2 Signature3 = 0x5F, //p-3 Signature4 = 0x5E, //p+5 Signature5 = 0xE8; //p第一个字节 //获得KeAttachProcess地址,然后通过特征码找到 //KiAttachProcess的地址 KeAttachProcessAddress = (BYTE*)MyGetFunAddress(L"KeAttachProcess"); if (KeAttachProcessAddress == NULL) { KdPrint(("KeAttachProcess地址获取失败\n")); return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES; } //将p指向KeAttachProcess函数开始处 p = KeAttachProcessAddress; while (1) { if ((*(p-1) == Signature1) && (*(p-2) == Signature2) && (*(p+5) == Signature3) && (*(p+6) == Signature4) && (*p == Signature5)) { //定位成功后取地址 KiAttachProcessAddress = *(PULONG)(p+1)+(ULONG)(p+5); break; } //推动指针 p++; } //计算中继函数地址 *(ULONG *)(MovEaxAddress+1)=(ULONG)Nakd_KiAttachProcess; WPOFF(); //清除CR0 //提升IRQL中断级 Irql=KeRaiseIrqlToDpcLevel(); //写入 RtlCopyMemory(KiAttachProcessAddress,MovEaxAddress,5); RtlCopyMemory(KiAttachProcessAddress+5,JmpEax,2); //恢复Irql KeLowerIrql(Irql); WPON(); //恢复CR0 return STATUS_SUCCESS; }
相关文章推荐
- 过TP保护与解除游戏驱动保护
- 过TP保护与解除游戏驱动保护(可以借鉴)
- 过TP保护与解除游戏驱动保护(可以借鉴)
- 过TP保护与解除游戏驱动保护
- TP 游戏保护驱动调试视频教程
- 过 DNF TP 驱动保护(二)
- 郁金香vc++过驱动保护游戏外挂制作教程1-51课全套
- 过 DNF TP 驱动保护(二)
- 围观tp驱动保护。详解debugport清0
- 过 DNF TP 驱动保护(一)
- 过 DNF TP 驱动保护(一)
- 散谈游戏保护那点事~就从_TP开始入手吧
- 过TP驱动保护
- 过DNF TP驱动保护(二)(转载)
- 过 DNF TP 驱动保护(二)
- 突破游戏驱动级反外挂保护
- 散谈游戏保护那点事~就从_TP开始入手吧
- [转载] 过 DNF TP 驱动保护
- 过 DNF TP 驱动保护(二)
- 破解XXX游戏驱动保护过程总结