精华内容
下载资源
问答
  • TP源码

    2014-05-17 14:18:58
    TP源码
  • TP源码

    2019-04-02 13:20:57
    TP开发的商城适合用于学习笔记加源码
  • MVC基本原理+tp源码分析
  • TP源码(汇编)

    2013-07-25 11:48:05
    TP源码(汇编)
  • tp保护,使用vc6.0编译,wdk:7600:16385
  • 模仿TP源码

    2012-08-24 14:42:18
    可以用来模仿TX游戏的TP样式,喜欢的就速度去下载吧!
  • ,包括文档说明和最新的API接口说明最新的TP源码和演示代码,包括文档说明和最新的API接口说明
  • 完全过TP源码(转)

    千次阅读 2013-10-26 14:01:24
    标 题: 【原创】散谈游戏保护那点事~就从_TP开始入手吧 作 者: crazyearl 时 间: 2010-12-20,02:37:22 转载链 接: http://bbs.pediy.com/showthread.php?t=126802 声明:本文只为研究技术,请所有童鞋切勿...
    标 题: 【原创】散谈游戏保护那点事~就从_TP开始入手吧
    作 者: crazyearl

    时 间: 2010-12-20,02:37:22
    转载链 接: http://bbs.pediy.com/showthread.php?t=126802

    声明:本文只为研究技术,请所有童鞋切勿使用本文之方法做下那天理难容罪恶不舍之坏事。
             既是研究游戏保护,那么总要有一个研究对象。本文就以TMD_TP这款游戏保护为例进行分析讲解。请勿对号入座,如有雷同之处。纯属反汇编引擎之错误,不关我的事!
            关键字:DNF 驱动保护
            鉴于最近很多同学找上门来求解这那问题,反正这东西又不是绝密档案,放在我手里大半个月了,还不如放出来让大家一起进步算了。另外都是取之看雪还之看雪罢了。
    索性我也就公布一个全套的方案。绝无其他意思,所以还请同道中人嘴下留情。切勿背地使坏!

            在正式开篇之前我要感谢看雪ID:十年寒窗 在我最困惑的时候,他给予了最大的帮助!另外还有一位和我同岁的神秘人物也给予了不小的帮助,感谢你们。

            废话了半天,正式开始吧。
    tmd_TP也就是国内比较流行的游戏D_N*F的游戏保护。
    它在ring0层一共HOOK了几个地方和一些其他的工作。来达到保护的目的
    下面是简报:


    复制代码
    1. NtOpenThread //防止调试器在它体内创建线程
    2. NtOpenProcess //防止OD等在进程列表看到它
    3. KiAttachProcess //防止其他软件附加它
    4. NtReadVirtualMemory //防止别人读取它的内存
    5. NtWriteVirtualMemory //防止别人在它的内存里面乱写乱画
    6. KDCOM.dll:KdReceivePacket //这两个是COM串口的接受和发送数据
    7. KDCOM.dll:KdSendPacket //主要用来方式别人双机调试


    使用了KdDisableDebugger来禁用双机调试
    代码:
    复制代码
    1. .text:010025F0 jz short loc_1002622
    2. .text:010025F2 call sub_10022A4
    3. .text:010025F7 call ds:KdDisableDebugger
    4. .text:010025FD push offset byte_10022EC
    5. .text:01002602 push esi
    6. .text:01002603 push offset byte_10022DC
    7. .text:01002608 push edi
    8. .text:01002609 push dword_100CF24

    并对debugport进行了疯狂的清零操作
    甚至还包括EPROCESS+70\+74\+78等几处位置


    处理的手段通常都是向64端口写入FE导致计算机被重启
    代码:
    复制代码
    1. .text:01001665 mov al, 0FEh
    2. .text:01001667 out 64h, al ; AT Keyboard controller 8042.
    3. .text:01001667 ; Resend the last transmission
    4. .text:01001669 popa
    5. .text:0100166A retn

    下面简单看下他关键的几个HOOK:
    KiAttachProcess  


    NtReadVirtualMemory  


    NtWriteVirtualMemory  


    NtOpenThread


    NtOpenProcess





    引用:其中,前3个直接恢复即可。
    第4个有监视,直接恢复即刻重启
    第5个和ring3有通信,直接恢复1分钟内SX非法模块  
    根据上面的分析,下面给出相应的解决方案
    1.直接恢复 第1、2、3处HOOK
    2.绕过4、5处HOOK
    3.将debugport清零的内核线程干掉
    4.恢复硬件断点
    但是要有一个先后的逻辑顺序
    因为内核有一个线程负责监视几个地方,必须要先干掉它。
    但是这个内容我写在了处理debugport清零的一起,也就是第3步。所以大家在照搬源码的时候
    注意代码执行次序

    先从简单的工作讲起,恢复1、2、3处的HOOK
    KiAttachProcess的处理
    代码:
    复制代码
    1. //
    2. // 名称: Nakd_KiAttachProcess
    3. // 功能: My_RecoveryHook_KiAttachProcess的中继函数
    4. // 参数:
    5. // 返回:
    6. //
    7. static NAKED VOID Nakd_KiAttachProcess()
    8. {
    9. __asm
    10. {
    11. mov edi,edi
    12. push ebp
    13. mov ebp,esp
    14. push ebx
    15. push esi
    16. mov eax,KiAttachProcessAddress //注意这个是全局变量 BYTE*
    17. add eax,7
    18. jmp eax
    19. }
    20. }
    21. //
    22. // 名称: RecoveryHook_KiAttachProcess
    23. // 功能: 解除游戏保护对_KiAttachProcess函数的HOOK(DNF)
    24. // 参数:
    25. // 返回: 状态
    26. //
    27. NTSTATUS My_RecoveryHook_KiAttachProcess()
    28. {
    29. BYTE *KeAttachProcessAddress = NULL; //KeAttachProcess函数地址
    30. BYTE *p;
    31. BYTE MovEaxAddress[5] = {0xB8,0,0,0,0}; //
    32. BYTE JmpEax[2] = {0xff,0xe0};
    33. KIRQL Irql;
    34. //特征码
    35. BYTE Signature1 = 0x56, //p-1
    36. Signature2 = 0x57, //p-2
    37. Signature3 = 0x5F, //p-3
    38. Signature4 = 0x5E, //p+5
    39. Signature5 = 0xE8; //p第一个字节
    40. //获得KeAttachProcess地址,然后通过特征码找到
    41. //KiAttachProcess的地址
    42. KeAttachProcessAddress = (BYTE*)MyGetFunAddress(L"KeAttachProcess");
    43. if (KeAttachProcessAddress == NULL)
    44. {
    45. KdPrint(("KeAttachProcess地址获取失败\n"));
    46. return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
    47. }
    48. //将p指向KeAttachProcess函数开始处
    49. p = KeAttachProcessAddress;
    50. while (1)
    51. {
    52. if ((*(p-1) == Signature1) &&
    53. (*(p-2) == Signature2) &&
    54. (*(p+5) == Signature3) &&
    55. (*(p+6) == Signature4) &&
    56. (*p == Signature5))
    57. {
    58. //定位成功后取地址
    59. KiAttachProcessAddress = *(PULONG)(p+1)+(ULONG)(p+5);
    60. break;
    61. }
    62. //推动指针
    63. p++;
    64. }
    65. //计算中继函数地址
    66. *(ULONG *)(MovEaxAddress+1)=(ULONG)Nakd_KiAttachProcess;
    67. WPOFF(); //清除CR0
    68. //提升IRQL中断级
    69. Irql=KeRaiseIrqlToDpcLevel();
    70. //写入
    71. RtlCopyMemory(KiAttachProcessAddress,MovEaxAddress,5);
    72. RtlCopyMemory(KiAttachProcessAddress+5,JmpEax,2);
    73. //恢复Irql
    74. KeLowerIrql(Irql);
    75. WPON(); //恢复CR0
    76. return STATUS_SUCCESS;
    77. }

    NtReadVirtualMemory和
    NtWriteVirtualMemory的处理
    注意这里,我对他们俩开头的第2句PUSH的处理
    我直接写入了push 0x78563412
    大家可以根据自己的地址来硬编码一次。
    或者干脆这样使用

    代码:
    复制代码
    1. //
    2. // 名称: My_RecoveryHook_NtReadAndWriteMemory
    3. // 功能: 解除游戏保护对NtReadVirtualMemory和
    4. // NtWriteVirtualMemory的HOOK
    5. // 参数:
    6. // 返回:
    7. //
    8. NTSTATUS My_RecoveryHook_NtReadAndWriteMemory()
    9. {
    10. BYTE Push1Ch[2] = {0x6a,0x1c}; //0~2字节
    11. BYTE PushAdd[5] = {0x68,0x12,0x34,0x56,0x78}; //NtReadVirtualMemory[物理机]
    12. //BYTE PushAdd2[5] = {0x68,0xf0,0x6f,0x4f,0x80}; //NtWriteVirtualMemory[物理机]
    13. KIRQL Irql;
    14. BYTE *NtReadVirtualMemoryAddress = NULL; //NtReadVirtualMemory的地址
    15. BYTE *NtWriteVirtualMemoryAddress = NULL; //NtWriteVirtualMemory的地址
    16. //从SSDT表中获取NtReadVirtualMemory函数地址
    17. NtReadVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0xBA);
    18. if (NtReadVirtualMemoryAddress == NULL)
    19. {
    20. KdPrint(("NtReadVirtualMemory函数地址获取失败! \n"));
    21. return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
    22. }
    23. //从SSDT表中获取NtWriteVirtualMemory函数地址
    24. NtWriteVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0x115);
    25. if (NtWriteVirtualMemoryAddress == NULL)
    26. {
    27. KdPrint(("NtWriteVirtualMemory函数地址获取失败! \n"));
    28. return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
    29. }
    30. WPOFF(); //清除CR0
    31. //提升IRQL中断级
    32. Irql=KeRaiseIrqlToDpcLevel();
    33. //写入
    34. RtlCopyMemory(NtReadVirtualMemoryAddress,Push1Ch,2);
    35. RtlCopyMemory(NtReadVirtualMemoryAddress+2,PushAdd,5);
    36. RtlCopyMemory(NtWriteVirtualMemoryAddress,Push1Ch,2);
    37. RtlCopyMemory(NtWriteVirtualMemoryAddress+2,PushAdd,5);
    38. //恢复Irql
    39. KeLowerIrql(Irql);
    40. WPON(); //恢复CR0
    41. return STATUS_SUCCESS;
    42. }

    好了,下面来处理
    NtOpenProcess和
    NtOpenThread
    这两个函数的处理上不能太鲁莽了。
    手法要风骚一点细腻一点了
    介于篇幅的原因,我只贴出来前者的处理方法,后者雷同
    细微之处大家自行修改。我总不能真的给你方法又给你工具。眼看着自己变成教唆犯


    代码:
    复制代码
    1. //NtOpenProcess用到的全局变量[为了方便堆栈平衡的处理使用全局变量]
    2. PEPROCESS processEPROCESS = NULL; //保存访问者的EPROCESS
    3. ANSI_STRING p_str1,p_str2; //保存进程名称
    4. BYTE *ObOpenObjectByPointerAddress = NULL; //ObOpenObjectByPointer的地址
    5. BYTE *p_TpHookAddress = NULL; //TP的HOOK函数地址
    6. BYTE *p_ReturnAddress = NULL; //返回到的地址
    7. BYTE *p_MyHookAddress = NULL; //我们的HOOK函数在哪写入
    8. #define DNF_EXE "DNF.exe" //要检索的进程名
    9. //
    10. // 名称: Nakd_NtOpenProcess
    11. // 功能: My_RecoveryHook_NtOpenProcess的中继函数
    12. // 参数:
    13. // 返回:
    14. //
    15. static NAKED VOID Nakd_NtOpenProcess()
    16. {
    17. //获得调用者的EPROCESS
    18. processEPROCESS = IoGetCurrentProcess();
    19. //将调用者的进程名保存到str1中
    20. RtlInitAnsiString(&p_str1,(ULONG)processEPROCESS+0x174);
    21. //将我们要比对的进程名放入str2
    22. RtlInitAnsiString(&p_str2,DNF_EXE);
    23. if (RtlCompareString(&p_str1,&p_str2,TRUE) == 0)
    24. {
    25. //说明是DNF进程访问了这里
    26. __asm
    27. {
    28. push dword ptr [ebp-38h]
    29. push dword ptr [ebp-24h]
    30. push p_ReturnAddress
    31. mov eax,p_TpHookAddress
    32. jmp eax
    33. }
    34. }
    35. else
    36. {
    37. __asm
    38. {
    39. push dword ptr [ebp-38h]
    40. push dword ptr [ebp-24h]
    41. push p_ReturnAddress
    42. mov eax,ObOpenObjectByPointerAddress
    43. jmp eax
    44. }
    45. }
    46. }
    47. //
    48. // 名称: My_RecoveryHook_NtOpenProcess
    49. // 功能: 解除游戏保护对NtOpenProcess的HOOK
    50. // 参数:
    51. // 返回: 状态
    52. //
    53. NTSTATUS My_RecoveryHook_NtOpenProcess()
    54. {
    55. BYTE *NtOpenProcessAddress = NULL; //NtOpenProcess的地址
    56. BYTE *p = NULL; //临时
    57. TOP5CODE *top5code = NULL; //保存5字节内容
    58. BYTE JmpAddress[6] = {0xE9,0,0,0,0,0x90};
    59. KIRQL Irql;
    60. //获取NtOpenProcess的地址
    61. NtOpenProcessAddress = (BYTE*)MyGetFunAddress(L"NtOpenProcess");
    62. if (NtOpenProcessAddress == NULL)
    63. {
    64. KdPrint(("NtOpenProcess地址获取失败\n"));
    65. return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
    66. }
    67. //获取ObOpenObjectByPointer的地址
    68. ObOpenObjectByPointerAddress = (BYTE*)MyGetFunAddress(L"ObOpenObjectByPointer");
    69. if (ObOpenObjectByPointerAddress == NULL)
    70. {
    71. KdPrint(("ObOpenObjectByPointer地址获取失败\n"));
    72. return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
    73. }
    74. //将p指向NtOpenProcess函数开始处
    75. p = NtOpenProcessAddress;
    76. //用一个无限循环来判断给定的特征码来确定被HOOK位置
    77. while (1)
    78. {
    79. if ((*(p-7) == 0x50) &&
    80. (*(p-0xE) == 0x56) &&
    81. (*(p+0xd) == 0x50) &&
    82. (*(p+0x16) == 0x3b) &&
    83. (*(p+0x17) == 0xce) &&
    84. (*p == 0xE8) &&
    85. (*(p+5) == 0x8b) &&
    86. (*(p+6) == 0xf8))
    87. {
    88. KdPrint(("%0X \n",(ULONG)p));
    89. break;
    90. }
    91. //推动指针向前走
    92. p++;
    93. }
    94. //将top5code指向 p 的当前处
    95. //用以取出 call [地址] 这5字节里面的地址
    96. top5code = (TOP5CODE*)p;
    97. p_TpHookAddress = (BYTE*)((ULONG)p+5+top5code->address);
    98. //找到我们写入自定义函数的地址
    99. p_MyHookAddress = p-6;
    100. //保存调用ObOpenObjectByPointer函数以后的返回地址
    101. p_ReturnAddress = p+5;
    102. //将一条JMP Nakd_NtOpenProcess写入到数组中
    103. *(ULONG *)(JmpAddress+1)=(ULONG)Nakd_NtOpenProcess - ((ULONG)p_MyHookAddress+5);
    104. WPOFF(); //清除CR0
    105. //提升IRQL中断级
    106. Irql=KeRaiseIrqlToDpcLevel();
    107. //写入
    108. RtlCopyMemory(p_MyHookAddress,JmpAddress,6);
    109. //恢复Irql
    110. KeLowerIrql(Irql);
    111. WPON(); //恢复CR0
    112. return STATUS_SUCCESS;
    113. }

    处理之后:

    简而言之其原理就是,任何人调用了NtOpenProcess的时候会先进入
    Nakd_NtOpenProcess函数,我们判断。如果是游戏进程访问的话,就有可能是验证之类的
    我们转到它自己的函数里面。让它保持与ring3层的通信。否则的话,嘿嘿……

    接下来是第3步处理debugport清零的这块了。
    我想绝大多数人关心的都是这里了
    网络上能搜多到的办法几乎都失效了
    有办法的人又不肯放出来,急眼了就自己想了个土办法
    虽然不那么时尚。但是绝对的奏效。
    由于代码凌乱不堪,简单说下其原理。
    我们定位内核模块TxxxSxxx.sys的首地址
    然后根据特征码遍历整个模块找到我们需要的地方,然后干掉他们。
    那么我们又如何能够通过人工的判断出来到底是哪里在作怪呢
    利用syser或Start SoftICE对EPROCESS+BC处设置断点。就可以一层一层的追溯上去了
    到底如何用他们,我想大家自己多花点时间在看雪和GOOGLE或者BAIDU上面是不会吃亏的。
    由于ZwQuerySystemInformation函数的使用非常繁琐。而且篇幅有限。所以我只给出关键代码,至于这个函数如何使用。大家可以自己在搜索引擎找“枚举内核模块”
    代码:
    复制代码
    1. //
    2. // 名称: MyEnumKernelModule
    3. // 功能: 枚举内核模块
    4. // 参数: str:内核模块名称
    5. // moduleadd:该模块地址[传出]
    6. // modulesie:该模块大小[传出]
    7. // 返回:
    8. //
    9. NTSTATUS MyEnumKernelModule(IN CHAR* str,OUT ULONG *moduleadd,OUT ULONG *modulesie)
    10. {
    11. NTSTATUS status = STATUS_SUCCESS;
    12. ULONG n = 0;
    13. ULONG i = 0;
    14. PSYSTEM_MODULE_INFORMATION_ENTRY module = NULL;
    15. PVOID pbuftmp = NULL;
    16. ANSI_STRING ModuleName1,ModuleName2;
    17. BOOLEAN tlgstst= FALSE; //如果找到了指定模块则设置为TRUE
    18. //利用11号功能枚举内核模块
    19. status = ZwQuerySystemInformation(11, &n, 0, &n);
    20. //申请内存
    21. pbuftmp = ExAllocatePool(NonPagedPool, n);
    22. //再次执行,将枚举结果放到指定的内存区域
    23. status = ZwQuerySystemInformation(11, pbuftmp, n, NULL);
    24. module = (PSYSTEM_MODULE_INFORMATION_ENTRY)((PULONG )pbuftmp + 1 );
    25. //初始化字符串
    26. RtlInitAnsiString(&ModuleName1,str);
    27. //
    28. n = *((PULONG)pbuftmp );
    29. for ( i = 0; i < n; i++ )
    30. {
    31. RtlInitAnsiString(&ModuleName2,&module.ImageName);
    32. //DbgPrint("%d\t0x%08X 0x%08X %s\n",module.LoadOrderIndex,module.Base,module.Size,module.ImageName);
    33. if (RtlCompareString(&ModuleName1,&ModuleName2,TRUE) == 0)
    34. {
    35. DbgPrint("MyEnumKernelModule:%s:%0X \n",ModuleName2.Buffer,module.Base);
    36. *moduleadd = module.Base;
    37. *modulesie = module.Size;
    38. tlgstst = TRUE;
    39. break;
    40. }
    41. }
    42. ExFreePool(pbuftmp);
    43. if tlgstst == FALSE)
    44. {
    45. return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
    46. }
    47. return status;
    48. }
    49. //
    50. // 名称: My_Recovery_Debugport
    51. // 功能: 恢复游戏对debugport的清零操作
    52. // 参数:
    53. // 返回:
    54. //
    55. NTSTATUS My_Recovery_Debugport()
    56. {
    57. NTSTATUS stats;
    58. BYTE *sd1 = NULL,*sd2 = NULL,*pd = NULL;
    59. ULONG ModuleSize,ModuleAddress,i,number = 0;
    60. BYTE *p;
    61. KIRQL Irql;
    62. BYTE C390[2] = {0xc3,0x90};
    63. //获取指定的内核模块地址和字节数
    64. stats = MyEnumKernelModule("\\??\\c:\\windows\\system32\\tessafe.sys",&ModuleAddress,&ModuleSize);
    65. if (stats == FAILED_TO_OBTAIN_FUNCTION_ADDRESSES)
    66. {
    67. return FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;
    68. }
    69. KdPrint(("Address:%0X Sie:%d \n",ModuleAddress,ModuleSize));
    70. //特征码
    71. /* sd1特征
    72. p-1:18 p-2:87 p-3:DB p-4:33 p-5:07
    73. p-6:03 p :33 p+1:C0 p+7:3B p+8:D8
    74. sd2特征
    75. p-1:07 p-2:87 p-3:c0 p-4:33 p+14:89
    76. p+15:1c p+16:38
    77. */
    78. //将P指向内核模块开始处
    79. p = (BYTE*)ModuleAddress + 20;
    80. for (i = 0; i < ModuleSize - 20; i++,p++)
    81. {
    82. //sd1
    83. if ((*(p-1) == 0x18) &&
    84. (*(p-2) == 0x87) &&
    85. (*(p-3) == 0xDB) &&
    86. (*(p-4) == 0x33) &&
    87. (*(p-5) == 0x07) &&
    88. (*(p-6) == 0x03) &&
    89. (*p == 0x33) &&
    90. (*(p+1) == 0xC0) &&
    91. (*(p+7) == 0x3B) &&
    92. (*(p+8) == 0xD8) )
    93. {
    94. KdPrint(("--SD1 -- %0X \n",(ULONG)p));
    95. sd1 = p;
    96. number+=1; //记录已经获取一个特征
    97. }
    98. //sd2
    99. if ((*(p-1) == 0x07) &&
    100. (*(p-2) == 0x87) &&
    101. (*(p-3) == 0xC0) &&
    102. (*(p-4) == 0x33) &&
    103. (*(p+14)== 0x89) &&
    104. (*(p+15)== 0x1C) &&
    105. (*(p+16)== 0x38) &&
    106. (*p == 0xA1))
    107. {
    108. KdPrint(("--SD2 -- %0X \n",(ULONG)p));
    109. sd2 = p;
    110. number+=1; //记录已经获取一个特征
    111. }
    112. //pd
    113. if ((*(p-2) == 0xE3) &&
    114. (*(p-3) == 0xC1) &&
    115. (*(p-7) == 0xF3) &&
    116. (*(p-8) == 0x33) &&
    117. (*(p-10)== 0xEB) &&
    118. (*(p-11)== 0xC1) &&
    119. (*(p+1) == 0xF3) &&
    120. (*(p+2) == 0x42) &&
    121. (*(p+3) == 0x3B) &&
    122. (*(p+4) == 0xD1) &&
    123. (*p == 0x33))
    124. {
    125. KdPrint(("--PD -- %0X \n",(ULONG)p));
    126. pd = p;
    127. number+=1; //记录已经获取一个特征
    128. }
    129. if (number >= 3)
    130. {
    131. KdPrint(("特征 %d ---退出\n",number));
    132. break;
    133. }
    134. }
    135. //首先干掉监视函数
    136. while (1)
    137. {
    138. if ((*(pd-1) == 0xcc) && (*(pd-2) == 0xcc))
    139. {
    140. KdPrint(("pd首地址:%0X \n",(ULONG)pd));
    141. WPOFF(); //清除CR0
    142. //提升IRQL中断级
    143. Irql=KeRaiseIrqlToDpcLevel();
    144. //写入
    145. RtlCopyMemory(pd,C390,2);
    146. //恢复Irql
    147. KeLowerIrql(Irql);
    148. WPON(); //恢复CR0
    149. break;
    150. }
    151. pd--;
    152. }
    153. //干掉2个SD
    154. while (1)
    155. {
    156. if ((*(sd1-1) == 0xcc) && (*(sd1-2) == 0xcc))
    157. {
    158. KdPrint(("sd1首地址:%0X \n",(ULONG)sd1));
    159. WPOFF(); //清除CR0
    160. //提升IRQL中断级
    161. Irql=KeRaiseIrqlToDpcLevel();
    162. //写入
    163. RtlCopyMemory(sd1,C390,2);
    164. //恢复Irql
    165. KeLowerIrql(Irql);
    166. WPON(); //恢复CR0
    167. break;
    168. }
    169. sd1--;
    170. }
    171. while (1)
    172. {
    173. if ((*(sd2-1) == 0xcc) && (*(sd2-2) == 0xcc))
    174. {
    175. KdPrint(("sd2首地址:%0X \n",(ULONG)sd2));
    176. WPOFF(); //清除CR0
    177. //提升IRQL中断级
    178. Irql=KeRaiseIrqlToDpcLevel();
    179. //写入
    180. RtlCopyMemory(sd2,C390,2);
    181. //恢复Irql
    182. KeLowerIrql(Irql);
    183. WPON(); //恢复CR0
    184. break;
    185. }
    186. sd2--;
    187. }
    188. return STATUS_SUCCESS;
    189. }







    条评分
     
     
    在线那个谁

    UID:23

    • 注册时间2013-05-25
    • 最后登录2013-10-26
    • 在线时间182小时
    访问TA的空间加好友用道具

    只看该作者 沙发  发表于: 10-11
    最后,处理一下硬件断点就可以了
    这里我们使用到了SSDT HOOK
    分别HOOK了 SSDT 表中索引为 0xD5和0x55的函数。由于这里比较简单
    我想10个人有9个人懂得SSDT HOOK的。所以直接给出源码,不做原理分析了


    代码:
    复制代码
    //处理硬件断点时
    ULONG uNtSetContextThreadAddress;
    ULONG uNtGetContextThreadAddress;
    ULONG TenNtSetContextThread,
    TenNtGetContextThread;
    //
    // 名称: _MyNtGetThreadContext
    // 功能: 两个SSDT HOOK伪造函数的中继函数
    // 参数:
    // 返回:
    //
    static NAKED NTSTATUS Nakd_NtGetThreadContext(HANDLE hThread, PCONTEXT pContext)
    {
    __asm
    {
    jmp dword ptr[TenNtGetContextThread]
    }
    }
    static NAKED NTSTATUS Nakd_NtSetThreadContext(HANDLE hThread, PCONTEXT pContext)
    {
    __asm
    {
    jmp dword ptr[TenNtSetContextThread]
    }
    }
    //
    // 名称: MyNtGetThreadContext && MyNtSetThreadContext
    // 功能: NtGetThreadContext与NtSetThreadContext函数被SSDT HOOK的伪造函数
    // 参数:
    // 返回:
    //
    NTSTATUS MyNtGetThreadContext(HANDLE hThread, PCONTEXT pContext)
    {
    if ( _stricmp((const char*)PsGetProcessImageFileName(PsGetCurrentProcess()),DNF_EXE) ) {
    return Nakd_NtGetThreadContext(hThread, pContext);
    }
    return STATUS_UNSUCCESSFUL;
    }
    NTSTATUS MyNtSetThreadContext(HANDLE hThread, PCONTEXT pContext)
    {
    if ( _stricmp((const char*)PsGetProcessImageFileName(PsGetCurrentProcess()),DNF_EXE) )
    {
    return Nakd_NtSetThreadContext(hThread, pContext);
    }
    //DbgPrint("Dr7:%08X\n", pContext->Dr7);
    if ( pContext->Dr7 == 0x101 )
    {
    return Nakd_NtSetThreadContext(hThread, pContext);
    } return STATUS_UNSUCCESSFUL;
    } // //
    名称: My_Recovery_HardwareBreakpoint
    // 功能: 通过对set与get进行SSDT HOOK来恢复硬件断点
    // 参数:
    //
    返回: //
    NTSTATUS My_Recovery_HardwareBreakpoint()
    {
    KIRQL Irql;
    //获取地址
    uNtSetContextThreadAddress = (ULONG)KeServiceDescriptorTable->ServiceTableBase+0xD5 * 4;
    uNtGetContextThreadAddress = (ULONG)KeServiceDescriptorTable->ServiceTableBase+0x55 * 4;
    TenNtSetContextThread = *(ULONG*)uNtSetContextThreadAddress;
    TenNtGetContextThread = *(ULONG*)uNtGetContextThreadAddress;
    KdPrint(("Set地址:%0X\n",TenNtSetContextThread));
    KdPrint(("Get地址:%0X\n",TenNtGetContextThread));
    KdPrint(("Process:%0X \n",(ULONG)p_MyHookAddress));
    KdPrint(("Thread:%0X \n",(ULONG)t_MyHookAddress));
    WPOFF();
    //清除CR0 //提升IRQL中断级 Irql=KeRaiseIrqlToDpcLevel();
    //完成SSDT HOOK *(ULONG*)uNtGetContextThreadAddress = (ULONG)MyNtGetThreadContext;
    *(ULONG*)uNtSetContextThreadAddress = (ULONG)MyNtSetThreadContext;
    //恢复Irql KeLowerIrql(Irql); WPON(); //恢复CR0 return STATUS_UNSUCCESSFUL; }
    另外还有一些功能型的函数一并给出,省的大家迷糊

    我也算服务到位了,再看上面代码迷糊的时候。看这里找找
    看看有没有能用到的,或者翻一下我以往的帖子。里面应该有

    代码:
    复制代码
    //保存5字节代码的结构
    #pragma pack(1)
    typedef struct _TOP5CODE
    {
    UCHAR instruction; //指令
    ULONG address; //地址
    }TOP5CODE,*PTOP5CODE;
    #pragma pack( )
    //ssdt表结构
    typedef struct _ServiceDescriptorTable {
    PVOID ServiceTableBase; //System Service Dispatch Table 的基地址
    PVOID ServiceCounterTable;
    //包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysenter 更新。
    unsigned int NumberOfServices;//由 ServiceTableBase 描述的服务的数目。
    PVOID ParamTableBase; //包含每个系统服务参数字节数表的基地址-系统服务参数表
    }*PServiceDescriptorTable;
    //由SSDT索引号获取当前函数地址
    //NtOpenProcess [[KeServiceDescriptorTable]+0x7A*4]
    extern PServiceDescriptorTable KeServiceDescriptorTable;
    //
    // 名称: MyGetFunAddress
    // 功能: 获取函数地址
    // 参数: 函数名称字符串指针
    // 返回: 函数地址
    //
    ULONG MyGetFunAddress( IN PCWSTR FunctionName)
    {
    UNICODE_STRING UniCodeFunctionName;
    RtlInitUnicodeString( &UniCodeFunctionName, FunctionName );
    return (ULONG)MmGetSystemRoutineAddress( &UniCodeFunctionName );
    }
    //
    // 名称: myGetCurrentAddress
    // 功能: 获取SSDT表中指定函数的当前地址
    // 参数: index:指定函数在表中的索引号
    // 返回: 地址
    //
    ULONG myGetCurrentAddress(IN ULONG index)
    {
    ULONG SSDT_Cur_Addr;
    __asm
    {
    push ebx
    push eax
    mov ebx,KeServiceDescriptorTable
    mov ebx,[ebx]
    mov eax,index
    shl eax,2
    add ebx,eax
    mov ebx,[ebx]
    mov SSDT_Cur_Addr,ebx
    pop eax
    pop ebx
    }
    return SSDT_Cur_Addr;
    }
    VOID WPOFF()
    {
    __asm
    {
    cli
    mov eax,cr0
    and eax,not 10000h
    mov cr0,eax
    }
    }
    VOID WPON()
    {
    __asm
    {
    mov eax,cr0
    or eax,10000h
    mov cr0,eax
    sti
    }
    }

    记在最后面的话:大家要善用搜索引擎(建议学习google hacking技巧),勤做笔记 
    展开全文
  • tp-源码

    2021-03-31 05:20:02
  • tp1-源码

    2021-03-29 09:37:45
    tp1
  • TP1-源码

    2021-03-19 10:47:19
    TP1
  • TP-源码

    2021-03-12 17:34:26
  • 易语言TP进度条源码

    2020-07-23 08:38:21
    易语言TP进度条源码,TP进度条
  • 易语言源码易语言TP进度条源码.rar
  • Tp1-源码

    2021-03-07 07:54:51
    TP1 导演:本杰明·拉里维埃(BenjaminLarivière)
  • tp后台源码模板

    2015-03-27 12:14:16
    tp后台源码模板
  • 易语言源码易语言l2tp协议源码.rar
  • 易语言l2tp协议源码

    2020-07-19 06:55:45
    易语言l2tp协议源码,l2tp协议

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,269
精华内容 907
关键字:

tp源码