看流星社区

 找回密码
 注册账号
查看: 3173|回复: 2

简单说一下Steam平台常用游戏的EAC反调试保护WIN7X64

[复制链接]

该用户从未签到

发表于 2016-7-13 09:33:31 | 显示全部楼层 |阅读模式
内核层:3个内核线程用于不停的恢复THREAD PROCESS-CALLBACK 直接1字节anti会开启不了驱动 这里比以前的TP好点儿

CALLBACK里面抹去了句柄的读写内存权限 导致OD看不见进程 CE搜不了内存

反附加 三个驱动里面改了线程暂停位的反附加线程 导致OD附加 游戏直接消失 还有僵尸进程 这里和XG3有些像
            
什么调试权限 dbgport检测 啥的就不说了 没意义

应用层: 常规的 int3函数钩子 和一堆没啥作用的反附加线程

总结 如果加上枚举句柄表会好一点儿
以上 分析均在  WIN7X64 SP1 纯洁系统得出的

该用户从未签到

发表于 2016-7-14 22:02:59 | 显示全部楼层
斯蒂芬        

该用户从未签到

发表于 2016-7-17 08:01:55 | 显示全部楼层

好吧,我来支持一下~~~~
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

小黑屋|手机版|Archiver|看流星社区 |网站地图

GMT+8, 2024-3-19 10:32

Powered by Kanliuxing X3.4

© 2010-2019 kanliuxing.com

快速回复 返回顶部 返回列表