差異分析定位Ring3保護(hù)模塊-創(chuàng)新互聯(lián)

差異分析定位Ring 3保護(hù)模塊

成都創(chuàng)新互聯(lián)長(zhǎng)期為近1000家客戶提供的網(wǎng)站建設(shè)服務(wù),團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年,關(guān)注不同地域、不同群體,并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù);打造開放共贏平臺(tái),與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為嵩縣企業(yè)提供專業(yè)的成都做網(wǎng)站、網(wǎng)站設(shè)計(jì),嵩縣網(wǎng)站改版等技術(shù)服務(wù)。擁有十年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

由于保護(hù)模塊通常會(huì)Hook操作系統(tǒng)的原生DLL接口來進(jìn)行保護(hù),所以可以采用差異比較原生DLL文件和加載到內(nèi)存中的原生DLL直接的差別來定位Ring 3模塊。

在分析的過程中,為了防止被Ring 3保護(hù)模塊發(fā)現(xiàn),暫時(shí)可以先把除了自己線程外的其他線程暫停,如圖8-14所示。

差異分析定位Ring 3保護(hù)模塊

8-14  懸掛除自己線程外的其他線程

從圖8-14中可以看出,除自己線程外,該游戲有58個(gè)線程,可以通過SuspendThread()函數(shù)懸掛這些線程以便后續(xù)的分析(GS的命令就是ste序號(hào))。

下面,我們?cè)賹?duì)3個(gè)常用原生DLL——ntdll.dllkernel32.dlluser32.dll進(jìn)行文件和內(nèi)存的比較,如圖8-15所示。

差異分析定位Ring 3保護(hù)模塊

圖8-15  差異分析原生DLL的變化

從圖8-15中可以看出,ntdll.dll3處地址發(fā)生了變化,分別是0x7c921230、0x7c92DEB60x7c97077B。下面讓我們看看這3處地址目前的指令是什么,如圖8-16所示。

差異分析定位Ring 3保護(hù)模塊

圖8-16  兩處地址jmp指令

在圖8-16中,有一處jmp指令是跳入地址0x45320F0。讓我們看看它屬于哪個(gè)模塊,如圖8-17所示。

差異分析定位Ring 3保護(hù)模塊

圖8-17  模塊節(jié)信息

從圖8-17的地址區(qū)間來看,是包含0x45320F0的,所以,在ntdll.dll中地址0x7c92deb6會(huì)跳入X.dll模塊。到目前為止,我們基本可以判斷ring 3下的游戲保護(hù)模塊是X.dll

為了能更準(zhǔn)確地判斷X.dll是否是真的保護(hù)模塊,下面讓我們看看ntdll.dll3處發(fā)生變化的地址在原生ntdll.dll中的作用。

可以用IDA對(duì)ntdll.dll進(jìn)行分析,然后定位地址0x7c9212300x7c92DEB60x7c97077B。

如圖8-18所示,原來此處地址是DbgBreakPoint函數(shù)。這個(gè)函數(shù)是供調(diào)試器下軟件斷點(diǎn)用的,而在游戲中卻被改成了ret指令,這樣做能起到防止下軟件斷點(diǎn)的作用。

差異分析定位Ring 3保護(hù)模塊

圖8-18  0x7c921230地址所處函數(shù)

如圖8-19所示,0x7c97077B地址是屬于DbgUiRemoteBreakin函數(shù)的,這個(gè)函數(shù)的詳細(xì)介紹可以參見張銀奎老師的《軟件調(diào)試》一書的第10.6.4節(jié)。這里還是簡(jiǎn)單說明一下這個(gè)函數(shù)的作用,以便讀者能了解。

差異分析定位Ring 3保護(hù)模塊

圖8-19  0x7c97077B地址所處函數(shù)

DbgUiRemoteBreakin是ntdll提供的用于在目標(biāo)進(jìn)程中創(chuàng)建遠(yuǎn)線程下軟件斷點(diǎn)的函數(shù),其偽代碼如下。

DWORD WINAPI DbgUiRemoteBreakin( LPVOID lpParameter)

{

  __try

{

      if(NtCurrentPeb->BeingDebugged)

        DbgBreakPoint();

}

__except(EXCEPTION_EXECUTE_HANDLER)

{

      Return 1;

}

RtlExitUserThread(0);

}

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

當(dāng)前題目:差異分析定位Ring3保護(hù)模塊-創(chuàng)新互聯(lián)
當(dāng)前路徑:http://muchs.cn/article30/cedcso.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供企業(yè)建站、定制網(wǎng)站商城網(wǎng)站、關(guān)鍵詞優(yōu)化外貿(mào)建站、微信小程序

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

網(wǎng)站建設(shè)網(wǎng)站維護(hù)公司