差異分析定位Ring3保護(hù)模塊-創(chuàng)新互聯(lián)

差異分析定位Ring 3保護(hù)模塊

成都創(chuàng)新互聯(lián)長期為近1000家客戶提供的網(wǎng)站建設(shè)服務(wù),團(tuán)隊從業(yè)經(jīng)驗10年,關(guān)注不同地域、不同群體,并針對不同對象提供差異化的產(chǎn)品和服務(wù);打造開放共贏平臺,與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為嵩縣企業(yè)提供專業(yè)的成都做網(wǎng)站、網(wǎng)站設(shè)計,嵩縣網(wǎng)站改版等技術(shù)服務(wù)。擁有十年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

由于保護(hù)模塊通常會Hook操作系統(tǒng)的原生DLL接口來進(jìn)行保護(hù),所以可以采用差異比較原生DLL文件和加載到內(nèi)存中的原生DLL直接的差別來定位Ring 3模塊。

在分析的過程中,為了防止被Ring 3保護(hù)模塊發(fā)現(xiàn),暫時可以先把除了自己線程外的其他線程暫停,如圖8-14所示。

差異分析定位Ring 3保護(hù)模塊

8-14  懸掛除自己線程外的其他線程

從圖8-14中可以看出,除自己線程外,該游戲有58個線程,可以通過SuspendThread()函數(shù)懸掛這些線程以便后續(xù)的分析(GS的命令就是ste序號)。

下面,我們再對3個常用原生DLL——ntdll.dllkernel32.dlluser32.dll進(jìn)行文件和內(nèi)存的比較,如圖8-15所示。

差異分析定位Ring 3保護(hù)模塊

圖8-15  差異分析原生DLL的變化

從圖8-15中可以看出,ntdll.dll3處地址發(fā)生了變化,分別是0x7c9212300x7c92DEB60x7c97077B。下面讓我們看看這3處地址目前的指令是什么,如圖8-16所示。

差異分析定位Ring 3保護(hù)模塊

圖8-16  兩處地址jmp指令

在圖8-16中,有一處jmp指令是跳入地址0x45320F0。讓我們看看它屬于哪個模塊,如圖8-17所示。

差異分析定位Ring 3保護(hù)模塊

圖8-17  模塊節(jié)信息

從圖8-17的地址區(qū)間來看,是包含0x45320F0的,所以,在ntdll.dll中地址0x7c92deb6會跳入X.dll模塊。到目前為止,我們基本可以判斷ring 3下的游戲保護(hù)模塊是X.dll。

為了能更準(zhǔn)確地判斷X.dll是否是真的保護(hù)模塊,下面讓我們看看ntdll.dll3處發(fā)生變化的地址在原生ntdll.dll中的作用。

可以用IDAntdll.dll進(jìn)行分析,然后定位地址0x7c9212300x7c92DEB60x7c97077B。

如圖8-18所示,原來此處地址是DbgBreakPoint函數(shù)。這個函數(shù)是供調(diào)試器下軟件斷點(diǎn)用的,而在游戲中卻被改成了ret指令,這樣做能起到防止下軟件斷點(diǎn)的作用。

差異分析定位Ring 3保護(hù)模塊

圖8-18  0x7c921230地址所處函數(shù)

如圖8-19所示,0x7c97077B地址是屬于DbgUiRemoteBreakin函數(shù)的,這個函數(shù)的詳細(xì)介紹可以參見張銀奎老師的《軟件調(diào)試》一書的第10.6.4節(jié)。這里還是簡單說明一下這個函數(shù)的作用,以便讀者能了解。

差異分析定位Ring 3保護(hù)模塊

圖8-19  0x7c97077B地址所處函數(shù)

DbgUiRemoteBreakin是ntdll提供的用于在目標(biāo)進(jìn)程中創(chuàng)建遠(yuǎn)線程下軟件斷點(diǎn)的函數(shù),其偽代碼如下。

DWORD WINAPI DbgUiRemoteBreakin( LPVOID lpParameter)

{

  __try

{

      if(NtCurrentPeb->BeingDebugged)

        DbgBreakPoint();

}

__except(EXCEPTION_EXECUTE_HANDLER)

{

      Return 1;

}

RtlExitUserThread(0);

}

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點(diǎn)與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

當(dāng)前題目:差異分析定位Ring3保護(hù)模塊-創(chuàng)新互聯(lián)
當(dāng)前路徑:http://bm7419.com/article30/cedcso.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供企業(yè)建站、定制網(wǎng)站商城網(wǎng)站、關(guān)鍵詞優(yōu)化外貿(mào)建站、微信小程序

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

網(wǎng)站建設(shè)網(wǎng)站維護(hù)公司