过TP保护的基本方案.docVIP

.. .. .. .专业资料. 过TP保护分析过程~【转帖】 本文只为研究技术,请所有童鞋切勿使用本文之方法做下那天理难容罪恶不舍之坏事。既是研究游戏保护，那么总要有一个研究对象。本文就以TMD_TP这款游戏保护为例进行分析讲解。请勿对号入座，如有雷同之处。纯属反汇编引擎之错误，不关我的事！转载请注明出处 关键字：DNF 驱动保护鉴于最近很多同学找上门来求解这那问题，反正这东西又不是绝密档案，放在我手里大半个月了，还不如放出来让大家一起进步算了。另外都是取之看雪还之看雪罢了。索性我也就公布一个全套的方案。绝无其他意思，所以还请同道中人嘴下留情。切勿背地使坏！在正式开篇之前我要感谢看雪ID:十年寒窗 在我最困惑的时候，他给予了最大的帮助！另外还有一位和我同岁的神秘人物也给予了不小的帮助，感谢你们。废话了半天，正式开始吧。tmd_TP也就是国内比较流行的游戏D_N*F的游戏保护。它在ring0层一共HOOK了几个地方和一些其他的工作。来达到保护的目的下面是简报:[url=javascript:]复制代码[/url] NtOpenThread //防止调试器在它体内创建线程 NtOpenProcess //防止OD等在进程列表看到它 KiAttachProcess //防止其他软件附加它 NtReadVirtualMemory //防止别人读取它的内存 NtWriteVirtualMemory //防止别人在它的内存里面乱写乱画 KDCOM.dll:KdReceivePacket //这两个是COM串口的接受和发送数据 KDCOM.dll:KdSendPacket //主要用来方式别人双机调试 使用了KdDisableDebugger来禁用双机调试代码: [url=javascript:]复制代码[/url] .text:010025F0 jz short loc_1002622 .text:010025F2 call sub_10022A4 .text:010025F7 call ds:KdDisableDebugger .text:010025FD push offset byte_10022EC .textpush esi .textpush offset byte_10022DC .textpush edi .textpush dword_100CF24 并对debugport进行了疯狂的清零操作甚至还包括EPROCESS+70\+74\+78等几处位置图片:1.jpg处理的手段通常都是向64端口写入FE导致计算机被重启代码: [url=javascript:]复制代码[/url] .textmov al, 0FEh .textout 64h, al ; AT Keyboard controller 8042. .text; Resend the last transmission .textpopa .text:0100166A retn 下面简单看下他关键的几个HOOK：KiAttachProcess 图片:2.jpgNtReadVirtualMemory 图片:3.jpgNtWriteVirtualMemory 图片:4.jpgNtOpenThread图片:5.jpgNtOpenProcess 图片:6.jpg引用:其中，前3个直接恢复即可。第4个有监视，直接恢复即刻重启第5个和ring3有通信，直接恢复1分钟内SX非法模块 根据上面的分析，下面给出相应的解决方案1.直接恢复 第1、2、3处HOOK2.绕过4、5处HOOK3.将debugport清零的内核线程干掉4.恢复硬件断点但是要有一个先后的逻辑顺序因为内核有一个线程负责监视几个地方，必须要先干掉它。但是这个内容我写在了处理debugport清零的一起，也就是第3步。所以大家在照搬源码的时候注意代码执行次序先从简单的工作讲起，恢复1、2、3处的HOOKKiAttachProcess的处理代码: [url=javascript:]复制代码[/url] ////////////////////////////////////////////////////////////////////// // 名称: Nakd_KiAttachProcess