也许大家也是研究腾讯游戏的爱好者, 对腾讯的游戏都有过这样的体会 例如 OD 与 CE 无法进行如以下操作: 无法附加进程, 无法打开进程, 游戏进程被隐藏无法在工具中查看到, 内存无法读取代码内存修改后游戏掉线无法双机进行调试出现 SX 非法模块提示 ` 其实以上说的这么多限制 都是因为 TP 保护造成的. 其实这些东西研究了很久后, 发现其实就是黑色老大常说的 APIHOOK 这方面. 72E1F)% 例如 DNF 的 TP 保护就是 HOOK 了以下几个 API 函数来禁止上面刚才说的那些: NtOpenThread // 这是 TP 防止调试器在它体内创建线程
- NtOpenProcess // 这是 TP 防止 OD 等在进程列表看到游戏进程
- KiAttachProcess // 这是 TP 防止其他软件附加它
- NtReadVirtualMemory // 这是 TP 防止别人读取它的内存
- NtWriteVirtualMemory // 这是 TP 防止别人在它的内存里面乱写乱画
- KDCOM.dll:KdReceivePacket // 这是 TP 这两个是 COM 串口的接受和发送数据
- KDCOM.dll:KdSendPacket // 这是 TP 主要用来方式别人双机调试, TP 使用了 KdDisableDebugger 来禁用双机调试. TP 通过将以上这几个 API 进行 HOOK 后 来保护游戏, 看过独立团第四版本易语言辅助教程的人 应该知道 以上的那几个 API 函数 开头是 Nt 的吧 Nt 开头的是 ntdll.dll 库中的函数, 也正是黑色衬衣老大在第四版本易语言辅助教程中有一篇课程是讲 SSDTHOOK 与恢复这方面的. 那么 TP 保护它比较变态, 并对 debugport 进行了疯狂的清零操作甚至还包括 EPROCESS+70\+74\+78 等几处位置处理的手段通常都是向 64 端口写入 FE 导致计算机被重启. 下面我简单看说下以上关键的几个 APIHOOK:1.KiAttachProcess 函数 2.NtReadVirtualMemory 内存函数 3.NtWriteVirtualMemory 内存函数 4.NtOpenThread 线程函数 5.NtOpenProcess 进程函数那么前 3 个函数是可以直接 SSDT 恢复的 第四版本易语言辅助教程老大讲了如何恢复的 不明白的可以自己去看教程. 第 4 个函数是有监视, 如果直接恢复的话电脑会即刻重启.(TP 蛮变态) 第 5 个函数和 ring3 有驱动通信, 直接恢复这个函数的话 游戏会在 1 分钟内弹出 SX 非法模块提示. 既然我们现在知道了 TP 保护的保护特点和这几个 API 分析后的结果. 接下来就是要做出相应的解除 TP 保护 (也就是这些 APIHOOK) 下面我在梳理一下头绪给出相应的解决方案 1. 首先直接恢复 第 1,2,3 处的 SSDT 表中的 HOOK2. 绕过 4,5 处的 HOOK 不采用直接恢复 3. 将 TP 保护程序中的 debugport 清零的内核线程干掉 停止该线程继续运行. 4. 恢复硬件断点但是要有一个先后的逻辑顺序因为内核有一个线程负责监视几个地方, 必须要先干掉它. 但是这个内容我写在了处理 debugport 清零的一起, 也就是第 3 步. 所以大家在照搬源码的时候注意代码执行次序. 下面我们就开始写解除 TP 保护的代码, 因为本人喜欢 C++ 所以是 c++ 编写, 如果是使用易语言的话 就自己翻译过来吧先从简单的工作讲起, 恢复 1,2,3 处的 HOOKKiAttachProcess 函数的处理的代码:
- //////////////////////////////////////////////////////////////////////
- // 名称: Nakd_KiAttachProcess
- // 功能: My_RecoveryHook_KiAttachProcess 的中继函数
- // 参数:
- // 返回:
- //////////////////////////////////////////////////////////////////////
- static NAKED VOID Nakd_KiAttachProcess()
- {
- __asm
- {
- mov edi,edi
- push ebp
- mov ebp,esp
- push ebx
- push esi
- mov eax,KiAttachProcessAddress // 注意这个是全局变量 BYTE*
- add eax,7
- jmp eax
- }
- }
- //////////////////////////////////////////////////////////////////////
- // 名称: RecoveryHook_KiAttachProcess
- // 功能: 解除游戏保护对_KiAttachProcess 函数的 HOOK(DNF)
- // 参数:
- // 返回: 状态
- //////////////////////////////////////////////////////////////////////
- NTSTATUS My_RecoveryHook_KiAttachProcess()
- {
- BYTE *KeAttachProcessAddress = NULL; //KeAttachProcess 函数地址
- BYTE *p;
- BYTE MovEaxAddress[
- 5] = {
- 0xB8,
- 0,0,0,0
- }; //
- BYTE JmpEax[2] = {
- 0xff,0xe0
- };
- KIRQL Irql;
- // 特征码
- BYTE Signature1 = 0x56, //p-1
- Signature2 = 0x57, //p-2
- Signature3 = 0x5F, //p-3
- Signature4 = 0x5E, //p+5
- Signature5 = 0xE8; //p 第一个字节
- // 获得 KeAttachProcess 地址, 然后通过特征码找到
- //KiAttachProcess 的地址
- KeAttachProcessAddress = (BYTE*)MyGetFunAddress(L"KeAttachProcess");
- if (KeAttachProcessAddress == NULL)
- {
- KdPrint(("KeAttachProcess 地址获取失败 \ n"));
- return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
- }
- // 将 p 指向 KeAttachProcess 函数开始处
- p = KeAttachProcessAddress;
- while (1)
- {
- if ((*(p-1) == Signature1) &&
- (*(p-2) == Signature2) &&
- (*(p+5) == Signature3) &&
- (*(p+6) == Signature4) &&
- (*p == Signature5))
- {
- // 定位成功后取地址
- KiAttachProcessAddress = *(PULONG)(p+1)+(ULONG)(p+5);
- break;
- }
- // 推动指针
- p++;
- }
- // 计算中继函数地址
- *(ULONG *)(MovEaxAddress+1)=(ULONG)Nakd_KiAttachProcess;
- WPOFF(); // 清除 CR0
- // 提升 IRQL 中断级
- Irql=KeRaiseIrqlToDpcLevel();
- // 写入
- RtlCopyMemory(KiAttachProcessAddress,MovEaxAddress,5);
- RtlCopyMemory(KiAttachProcessAddress+5,JmpEax,2);
- // 恢复 Irql
- KeLowerIrql(Irql);
- WPON(); // 恢复 CR0
- return STATUS_SUCCESS;
来源: http://www.bubuko.com/infodetail-3213043.html