易语言教程_易语言源码_易语言写挂_易语言论坛_看流星社区

 找回密码
 注册
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
零基础辅助入门教学 原创 高清 专业课程售后(每日解答)
赞助广告位 请点击这里联系站长 QQ20209081
赞助广告位 请点击这里联系站长 QQ20209081
赞助广告位 请点击这里联系站长 QQ20209081
查看: 314|回复: 4

散谈驱动过游戏保护TP那点事+源码

[复制链接]
发表于 2018-3-4 09:53:43 | 显示全部楼层 |阅读模式
  声明:本文只为研究技术,请所有童鞋切勿使用本文之方法做下那天理难容罪恶不舍之坏事。

   既是研究游戏保护,那么总要有一个研究对象。本文就以TMD_TP这款游戏保护为例进行分析讲解。请勿对号入座,如有雷同之处。纯属反汇编引擎之错误,不关我的事!

   关键字:DNF 驱动保护

tmd_TP也就是国内比较流行的游戏D_N*F的游戏保护。
它在ring0层一共HOOK了几个地方和一些其他的工作。来达到保护的目的

下面是简报:

NtOpenThread //防止调试器在它体内创建线程
NtOpenProcess //防止OD等在进程列表看到它
KiAttachProcess //防止其他软件附加它
NtReadVirtualMemory //防止别人读取它的内存
NtWriteVirtualMemory //防止别人在它的内存里面乱写乱画
KDCOM.dll:KdReceivePacket //这两个是COM串口的接受和发送数据
KDCOM.dll:KdSendPacket //主要用来方式别人双机调试

使用了KdDisableDebugger来禁用双机调试
  1. .text:010025F0                 jz      short loc_1002622
  2. .text:010025F2                 call    sub_10022A4
  3. .text:010025F7                 call    ds:[COLOR=magenta]KdDisableDebugger
  4. .text:010025FD                 push    offset byte_10022EC
  5. .text:01002602                 push    esi
  6. .text:01002603                 push    offset byte_10022DC
  7. .text:01002608                 push    edi
  8. .text:01002609                 push    dword_100CF24
复制代码


并对debugport进行了疯狂的清零操作
甚至还包括EPROCESS+70\+74\+78等几处位置
1.jpg

处理的手段通常都是向64端口写入FE导致计算机被重启
  1. .text:01001665                 mov     al, 0FEh
  2. .text:01001667                 out     64h, al         ; AT Keyboard controller 8042.
  3. .text:01001667                                         ; Resend the last transmission
  4. .text:01001669                 popa
  5. .text:0100166A                 retn
复制代码



下面简单看下他关键的几个HOOK:
KiAttachProcess   
2.jpg
NtReadVirtualMemory  
3.jpg
NtWriteVirtualMemory  
4.jpg
NtOpenThread
5.jpg
NtOpenProcess
6.jpg
其中,前3个直接恢复即可。
第4个有监视,直接恢复即刻重启
第5个和ring3有通信,直接恢复1分钟内SX非法模块

游客,如果您要查看本帖隐藏内容请回复

发表于 2018-3-6 21:27:22 | 显示全部楼层
11111111111
发表于 2018-3-14 06:34:06 | 显示全部楼层
散谈驱动过游戏保护TP
发表于 2018-5-10 21:53:52 | 显示全部楼层
看下。。。学习了。。谢谢!
发表于 2018-5-31 09:56:03 | 显示全部楼层

看下,学习学习,谢谢!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|看流星社区  |网站地图

GMT+8, 2018-6-19 10:27 易语言论坛 易语言导航

Powered by 看流星社区 X3.2

©2011-2016 最好的辅助编程技术论坛

快速回复 返回顶部 返回列表