分享过TP DebugPort清零的方法

三木目

首先要提出的是，我现在所做的过 TP 驱动保护只支持 32 位 XP，在所有的 32 位 XP 上都可以正常运行，
不过 Win7 的话还不行，因为里面用到了搜索特征码来定位未导出 API，而我只针对 XP 做了处理。

首先我们先分析一下TP所做的保护：
1、 NtOpenProcess 中的 Deep InLine Hook：
2、 NtOpenThread 中的 Deep InLine Hook：
3、 NtReadVirtualMemory 中的 InLine Hook：
4、 NtWriteVirtualMemory 中的 InLine Hook：
5、 KiAttachProcess和KeStackAttachProcess的 InLine Hook：
6、 NtGetContextThread 中的 InLine Hook：
7、 NtSetContextThread 中的 InLine Hook：
8 、DebugPort清零：
大概主要的函数就是以上这些了，一些小HOOK就不写了。

我相信前7个函数的处理方法在网上应该已经被人讲过一遍又一遍了，所以我直接从DebugPort清零说起。

首先我们又虚拟机进行双机调试 下游戏基址+0xbc 的访问断点
可以发现现在最新的TP 有四处清零和一处检测
他们分别是

TesSafe基址:   B13AF000
进程基址:        829FFDA0

Breakpoint 0 hit
<Unloaded_TesSafe.sys>+0x6ef1:
b1117ef1 8b4624          mov     eax,dword ptr [esi+24h]

Breakpoint 0 hit
<Unloaded_TesSafe.sys>+0x22a2:
b11132a2 8b09            mov     ecx,dword ptr [ecx]

Breakpoint 0 hit
<Unloaded_TesSafe.sys>+0xba4cc:
b11cb4cc e9a8350000      jmp     <Unloaded_TesSafe.sys>+0xbda79 (b11cea79)

Breakpoint 0 hit
<Unloaded_TesSafe.sys>+0xbb0f2:
b11cc0f2 e9c5f1ffff      jmp     <Unloaded_TesSafe.sys>+0xba2bc (b11cb2bc

一处检测： TesSafe.sys +0x4082

在处理清零之前我们要先处理掉检测，不然要是直接把清零函数ret掉了，检测函数发现后就会重启我们的电脑。
我们要先通过IDA的逆向找出清零函数和检测函数的首地址

第一处清零首地址：TesSafe+0x6ea8;
第二处清零首地址：TesSafe+0x222e;

以下是两处VM的清零代码的地址:

第三处清零：TesSafe+0xbb0f0;
第四处清零：TesSafe+0xba4ca;

CRC检测首地址：TesSafe+0x4082;

知道这些信息后我们就开始写代码过了他吧！

1. void HandleDebugZero(ULONG uImageBase) //主要清零处理函数
   
2. {
   
3.     ULONG uAddr_1=uImageBase + 0x4082;//清零CRC检测首地址
   
4.     ULONG uAddr_2=uImageBase + 0x6ea8;//清零处1首地址
   
5.     ULONG uAddr_3=uImageBase + 0x2228;//清零处2首地址
   
6. 
   
7.     GetDnfEprocessAddr(uImageBase);   //取得DNF 进程基址
   
8.     //这个进程基址在处理第三和第四处清零的时候用到
   
9.     if(uImageBase==0)
   
10.     {
    
11.         return;
    
12.     }
    
13. 
    
14.     DisableWP();   //清除CR0
    
15. 
    
16.      //由于这个检测函数没压入参数，所以直接ret
    
17.     *(PUSHORT)uAddr_1=0xc3;
    
18.      
    
19.     //0x6ea8 //第一处清零首地址,也是直接ret
    
20.     *(PUCHAR)(uAddr_2)=0xc3;
    
21. 
    
22.     //0x2228 //第二处清零首地址,还是直接ret
    
23.     *(PUCHAR)(uAddr_3)=0xc3;
    
24. 
    
25.     EnableWP();//恢复CR0
    
26. 
    
27.     g_uDebugPortOffset=g_uDebugPortOffset+0xbc;
    
28.     //取到清零位置的地址
    
29. 
    
30.     HandleDebugPortPop(true,uImageBase);//处理第三处清零
    
31.     HandleDebugPortPush(true,uImageBase);//处理第四处清零
    
32. }

复制代码

打字打到手都累了，下面就不加那么清楚的注释了，各位自己看下吧

1. void HandleDebugPortPop(BOOLEAN bHook,ULONG uImageBase)
   
2. {
   
3.         if(bHook)
   
4.         {
   
5.                 //hook pop
   
6.                 if(uImageBase==0)
   
7.                 {
   
8.                         return ;
   
9.                 }
   
10.                 g_uDebugPortPopHookAddr=uImageBase+0xbb0f0;//pop hook地址
    
11. 
    
12.                 g_uDebugPortPopRetAddr=uImageBase+0xba2bc;//pop retn 地址
    
13. 
    
14.                 if(g_uDebugPortPopHookAddr==0)
    
15.                 {
    
16.                         return;
    
17.                 }
    
18.                 RtlCopyMemory((PVOID)g_szBackupDebugPortPop,
    
19.                                   (PVOID)g_uDebugPortPopHookAddr,
    
20.                                          5);//保存hook地址，用于恢复
    
21.                
    
22.                 InLineHookEngine(g_uDebugPortPopHookAddr,(int)FuckDebugPortPop);
    
23.                 //__asm int 3
    
24.         }
    
25.         else
    
26.         {
    
27.                 if(g_uDebugPortPopHookAddr==0)
    
28.                 {
    
29.                         return;
    
30.                 }
    
31.                 // 最好判断下 TP是否 已经卸载
    
32.                 int TesSafe=GetTesSafeBassAddr();
    
33.                 if(TesSafe!=0)
    
34.                 {
    
35.                 //KIRQL Irql=KeRaiseIrqlToDpcLevel();
    
36.                 DisableWP();
    
37.         RtlCopyMemory((PVOID)g_uDebugPortPopHookAddr,
    
38.                                   (PVOID)g_szBackupDebugPortPop,
    
39.                                          5);//保存hook地址，用于恢复
    
40.                 EnableWP();
    
41.                 }
    
42.         }
    
43. }
    
44. 
    
45. void HandleDebugPortPush(BOOLEAN bHook,ULONG uImageBase)
    
46. {
    
47.         if(bHook)
    
48.         {
    
49.                 //hook pop
    
50.                 if(uImageBase==0)
    
51.                 {
    
52.                         return ;
    
53.                 }
    
54.                 g_uDebugPortPushHookAddr=uImageBase+0xba4ca;//push hook地址
    
55. 
    
56.                 g_uDebugPortPushRetAddr=uImageBase+0xba2bc;//push retn 地址
    
57. 
    
58.                 if(g_uDebugPortPushHookAddr==0)
    
59.                 {
    
60.                         return;
    
61.                 }
    
62.                 RtlCopyMemory((PVOID)g_szBackupDebugPortPush,
    
63.                                   (PVOID)g_uDebugPortPushHookAddr,
    
64.                                          5);//保存hook地址，用于恢复
    
65.                
    
66.                 InLineHookEngine(g_uDebugPortPushHookAddr,(int)FuckDebugPortPush);
    
67.                 //__asm int 3
    
68.         }
    
69.         else
    
70.         {
    
71.                 if(g_uDebugPortPushHookAddr==0)
    
72.                 {
    
73.                         return;
    
74.                 }
    
75.                 // 最好判断下 TP是否 已经卸载
    
76.                 int TesSafe=GetTesSafeBassAddr();
    
77.                 if(TesSafe!=0)
    
78.                 {
    
79.                 //KIRQL Irql=KeRaiseIrqlToDpcLevel();
    
80.                 DisableWP();
    
81.                                 RtlCopyMemory((PVOID)g_uDebugPortPushHookAddr,
    
82.                                   (PVOID)g_szBackupDebugPortPush,
    
83.                                          5);//保存hook地址，用于恢复
    
84.                 EnableWP();
    
85.                 }
    
86.         }
    
87. 
    
88. }
    
89. 
    
90. __declspec(naked)void FuckDebugPortPop()
    
91. {
    
92.         //DbgPrint("Pop");
    
93.         __asm
    
94.         {
    
95.                 pushfd
    
96.                 cmp edx,g_uDebugPortOffset //判断入栈的参数是否是清零位置的地址
    
97.                 jnz POPLABLE
    
98.                 popfd
    
99.                 add esp,0x4
    
100.                 jmp g_uDebugPortPopRetAddr
     
101. POPLABLE:
     
102.                 popfd
     
103.                 pop dword ptr [edx]
     
104.                 jmp g_uDebugPortPopRetAddr
     
105. 
     
106.         }
     
107. 
     
108. }
     
109. 
     
110. __declspec(naked)void FuckDebugPortPush()
     
111. {
     
112.         //DbgPrint("Push");
     
113.         __asm
     
114.         {
     
115.                 pushfd
     
116.                 cmp edx,g_uDebugPortOffset//判断入栈的参数是否是清零位置的地址
     
117. 
     
118.                 jnz PUSHLABLE
     
119.                 popfd
     
120.                 push 0
     
121.                 jmp g_uDebugPortPushRetAddr
     
122. PUSHLABLE:
     
123.                 popfd
     
124.                 push dword ptr [edx]
     
125.                 jmp g_uDebugPortPushRetAddr
     
126.         }
     
127. 
     
128. }

复制代码

最后提一点以下这两个函数要在驱动卸载的时候加到Unload函数中
HandleDebugPortPop(false,0);
HandleDebugPortPush(false,0);

最后在自己的机子成功过了TP后，CE 可以读写内存，OD可以附加。