看流星社区

 找回密码
 注册账号
查看: 2217|回复: 0

去掉《英雄年代2新版之战国侠侣》驱动保护

[复制链接]

该用户从未签到

发表于 2013-3-20 09:04:36 | 显示全部楼层 |阅读模式
1. 本打算2-3天来去掉这个游戏的驱动保护,哪知道只用了10分钟,真是应了那句千里之堤毁于蚁穴。

2.用RKU察看没有ssdt,ssdtshoadow 的hook,看驱动列表有一个1394hub.sys是游戏目录的驱动(一阵狂喜,可以分析这个驱动是如何保护),发现该目录下并没有这个文件(难道是被驱动将文件隐藏了),用winhex分析这个盘的ntfs格式发现这个文件是被删除的状态(一阵狂喜,用winhex恢复出来不就可以分析了),用winhex分析出来竟然不是一个PE文件(找文件看来不行了)。

3.想起了RKU,用dump将驱动从内存复制出来,发现复制失败(看来这个驱动保护还好)。

4.想起了木马常常很早以前用来对象杀软方法,我们在游戏目录GPK的下面新建文件夹1394hub.sys,然后重启系统。驱动保护破除了用WPE PRO.exe可以正常的注入和抓取游戏封包分析了。

5.只是想说多么牛逼的技术,只是一点点的疏忽就被秒杀了。
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

小黑屋|手机版|Archiver|看流星社区 |网站地图

GMT+8, 2024-3-28 23:27

Powered by Kanliuxing X3.4

© 2010-2019 kanliuxing.com

快速回复 返回顶部 返回列表