A、1394hub保护(游戏A)
B、necheck保护(游戏B)
课时:7+14
B、NeCheck保护
NtGdiCreateCompatibleBitmap
NtGdiGetPixel
NtUserCallTowParam
NtUserPostMessage
NtUserSendInput
ret相当于 jmp dword ptr[esp];add esp,4;//但并不等价哟
push addr
retn
//
jmp addr
NtCreateThread
NtProtectVirtualMemory
NtQueueApcThread
NtTerminateProcess
NtWriteVirtualMemory
//IAT
KeAttachProcess
Ke386IoSetAccessProcess
KeInitializeApc
KeSatackAttachProcess
ObCheckObjectAccess
ZwOpenSection
==========================================================
笔记:
A部分:过两个比较流行游戏的保护,保护比较弱.首先是游戏A,用XT工具查看一下色子,发现5个地方被HOOK了,已经对取点/消息/键盘等做了保护,我们用工具删除看一下已经没有了.然后打开OD,调整一下插件,还有一个反硬件断点的插件也要选上,然后先打开OD再打开游戏就可以下断了bp send 再下一个he send也可以了
B部分:再看一下B游戏,是最近比较流行的游戏,用CE打开可以找到,用OD附加就看不到进程,我们通过任务管理器将PID找到,然后用od.exe –p 3500来附加则打不开.我们用KD工具看不到HOOK,再用RU工具也没发现,还是用XT工具就发现了是5个inline hook,原来是用retn指令来进行跳转的,而在内核构子IAT里还有几个HOOK,我们用工具恢复一下看看,竟然没有恢复驱动保护,打开OD看一下,一切正常了,也能下断,看来此款游戏的保护并不是很强啊.当然像驱动中恢复的话用前面讲的知识应该可以恢复的.最后祝大家学习愉快! |