【原创】散谈游戏保护那点事~就从

标题: 【原创】散谈游戏保护那点事~就从_TP开始入手吧
作者: crazyearl
时间: 2010-12-20,02:37:22
链接: http://bbs.pediy.com/showthread.php?t=126802

声明：本文只为研究技术,请所有童鞋切勿使用本文之方法做下那天理难容罪恶不舍之坏事。
         既是研究游戏保护，那么总要有一个研究对象。本文就以TMD_TP这款游戏保护为例进行分析讲解。请勿对号入座，如有雷同之处。纯属反汇编引擎之错误，不关我的事！
        转载请注明出处
        关键字：DNF 驱动保护
        鉴于最近很多同学找上门来求解这那问题，反正这东西又不是绝密档案，放在我手里大半个月了，还不如放出来让大家一起进步算了。另外都是取之看雪还之看雪罢了。
索性我也就公布一个全套的方案。绝无其他意思，所以还请同道中人嘴下留情。切勿背地使坏！

在正式开篇之前我要感谢看雪ID:十年寒窗在我最困惑的时候，他给予了最大的帮助！另外还有一位和我同岁的神秘人物也给予了不小的帮助，感谢你们。

废话了半天，正式开始吧。
tmd_TP也就是国内比较流行的游戏D_N*F的游戏保护。
它在ring0层一共HOOK了几个地方和一些其他的工作。来达到保护的目的
下面是简报:

引用:

NtOpenThread    //防止调试器在它体内创建线程
NtOpenProcess   //防止OD等在进程列表看到它
KiAttachProcess   //防止其他软件附加它
NtReadVirtualMemory  //防止别人读取它的内存
NtWriteVirtualMemory  //防止别人在它的内存里面乱写乱画
KDCOM.dll:KdReceivePacket  //这两个是COM串口的接受和发送数据
KDCOM.dll:KdSendPacket      //主要用来方式别人双机调试

使用了KdDisableDebugger来禁用双机调试

代码:

.text:010025F0                 jz      short loc_1002622
.text:010025F2                 call    sub_10022A4
.text:010025F7                 call    ds:KdDisableDebugger
.text:010025FD                 push    offset byte_10022EC
.text:01002602                 push    esi
.text:01002603                 push    offset byte_10022DC
.text:01002608                 push    edi
.text:01002609                 push    dword_100CF24

并对debugport进行了疯狂的清零操作
甚至还包括EPROCESS+70\+74\+78等几处位置

名称: debugport.jpg查看次数: 14272文件大小: 44.1 KB

处理的手段通常都是向64端口写入FE导致计算机被重启

代码:

.text:01001665                 mov     al, 0FEh
.text:01001667                 out     64h, al         ; AT Keyboard controller 8042.
.text:01001667                                         ; Resend the last transmission
.text:01001669                 popa
.text:0100166A                 retn

下面简单看下他关键的几个HOOK：
KiAttachProcess

NtReadVirtualMemory

NtWriteVirtualMemory

NtOpenThread

NtOpenProcess

引用:

其中，前3个直接恢复即可。
第4个有监视，直接恢复即刻重启
第5个和ring3有通信，直接恢复1分钟内SX非法模块

根据上面的分析，下面给出相应的解决方案
1.直接恢复第1、2、3处HOOK
2.绕过4、5处HOOK
3.将debugport清零的内核线程干掉
4.恢复硬件断点
但是要有一个先后的逻辑顺序
因为内核有一个线程负责监视几个地方，必须要先干掉它。
但是这个内容我写在了处理debugport清零的一起，也就是第3步。所以大家在照搬源码的时候
注意代码执行次序

先从简单的工作讲起，恢复1、2、3处的HOOK
KiAttachProcess的处理

代码:

//////////////////////////////////////////////////////////////////////
//  名称:  Nakd_KiAttachProcess
//  功能:  My_RecoveryHook_KiAttachProcess的中继函数
//  参数:  
//  返回:  
//////////////////////////////////////////////////////////////////////
static NAKED VOID  Nakd_KiAttachProcess()
{__asm{mov     edi,edipush    ebpmov     ebp,esppush    ebxpush    esimov    eax,KiAttachProcessAddress  //注意这个是全局变量 BYTE*add    eax,7jmp    eax}
}
//////////////////////////////////////////////////////////////////////
//  名称:  RecoveryHook_KiAttachProcess
//  功能:  解除游戏保护对_KiAttachProcess函数的HOOK(DNF)
//  参数:  
//  返回:  状态
//////////////////////////////////////////////////////////////////////
NTSTATUS My_RecoveryHook_KiAttachProcess()
{BYTE    *KeAttachProcessAddress = NULL;  //KeAttachProcess函数地址BYTE    *p;BYTE    MovEaxAddress[5]  = {0xB8,0,0,0,0};  //BYTE    JmpEax[2]      = {0xff,0xe0};KIRQL    Irql;//特征码BYTE  Signature1 = 0x56,  //p-1Signature2 = 0x57,  //p-2Signature3 = 0x5F,  //p-3Signature4 = 0x5E,  //p+5Signature5 = 0xE8;  //p第一个字节//获得KeAttachProcess地址,然后通过特征码找到//KiAttachProcess的地址KeAttachProcessAddress = (BYTE*)MyGetFunAddress(L"KeAttachProcess");if (KeAttachProcessAddress == NULL){KdPrint(("KeAttachProcess地址获取失败\n"));return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;}//将p指向KeAttachProcess函数开始处p = KeAttachProcessAddress;while (1){if ((*(p-1) == Signature1) &&(*(p-2) == Signature2) &&(*(p+5) == Signature3) &&(*(p+6) == Signature4) &&(*p    == Signature5)){//定位成功后取地址KiAttachProcessAddress = *(PULONG)(p+1)+(ULONG)(p+5);break;}//推动指针p++;}//计算中继函数地址*(ULONG *)(MovEaxAddress+1)=(ULONG)Nakd_KiAttachProcess;WPOFF();  //清除CR0//提升IRQL中断级Irql=KeRaiseIrqlToDpcLevel();//写入RtlCopyMemory(KiAttachProcessAddress,MovEaxAddress,5);RtlCopyMemory(KiAttachProcessAddress+5,JmpEax,2);//恢复IrqlKeLowerIrql(Irql);WPON();    //恢复CR0return  STATUS_SUCCESS;
}

NtReadVirtualMemory和
NtWriteVirtualMemory的处理
注意这里，我对他们俩开头的第2句PUSH的处理
我直接写入了push 0x78563412
大家可以根据自己的地址来硬编码一次。
或者干脆这样使用

代码:

//////////////////////////////////////////////////////////////////////
//  名称:  My_RecoveryHook_NtReadAndWriteMemory
//  功能:  解除游戏保护对NtReadVirtualMemory和
//      NtWriteVirtualMemory的HOOK
//  参数:  
//  返回:  
//////////////////////////////////////////////////////////////////////
NTSTATUS My_RecoveryHook_NtReadAndWriteMemory()
{BYTE  Push1Ch[2]  = {0x6a,0x1c};  //0~2字节BYTE  PushAdd[5]  = {0x68,0x12,0x34,0x56,0x78};  //NtReadVirtualMemory[物理机]//BYTE  PushAdd2[5]  = {0x68,0xf0,0x6f,0x4f,0x80};  //NtWriteVirtualMemory[物理机]KIRQL  Irql;BYTE  *NtReadVirtualMemoryAddress    = NULL;  //NtReadVirtualMemory的地址BYTE  *NtWriteVirtualMemoryAddress  = NULL;  //NtWriteVirtualMemory的地址//从SSDT表中获取NtReadVirtualMemory函数地址NtReadVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0xBA);if (NtReadVirtualMemoryAddress == NULL){KdPrint(("NtReadVirtualMemory函数地址获取失败! \n"));return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;}//从SSDT表中获取NtWriteVirtualMemory函数地址NtWriteVirtualMemoryAddress = (BYTE*)myGetCurrentAddress(0x115);if (NtWriteVirtualMemoryAddress == NULL){KdPrint(("NtWriteVirtualMemory函数地址获取失败! \n"));return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;}WPOFF();  //清除CR0//提升IRQL中断级Irql=KeRaiseIrqlToDpcLevel();//写入RtlCopyMemory(NtReadVirtualMemoryAddress,Push1Ch,2);RtlCopyMemory(NtReadVirtualMemoryAddress+2,PushAdd,5);RtlCopyMemory(NtWriteVirtualMemoryAddress,Push1Ch,2);RtlCopyMemory(NtWriteVirtualMemoryAddress+2,PushAdd,5);//恢复IrqlKeLowerIrql(Irql);WPON();    //恢复CR0return  STATUS_SUCCESS;
}

好了，下面来处理
NtOpenProcess和
NtOpenThread
这两个函数的处理上不能太鲁莽了。
手法要风骚一点细腻一点了
介于篇幅的原因，我只贴出来前者的处理方法，后者雷同
细微之处大家自行修改。我总不能真的给你方法又给你工具。眼看着自己变成教唆犯

代码:

//NtOpenProcess用到的全局变量[为了方便堆栈平衡的处理使用全局变量]
PEPROCESS  processEPROCESS = NULL;  //保存访问者的EPROCESS
ANSI_STRING  p_str1,p_str2;      //保存进程名称
BYTE    *ObOpenObjectByPointerAddress  = NULL; //ObOpenObjectByPointer的地址
BYTE    *p_TpHookAddress = NULL;        //TP的HOOK函数地址
BYTE    *p_ReturnAddress = NULL;        //返回到的地址
BYTE    *p_MyHookAddress = NULL;        //我们的HOOK函数在哪写入
#define DNF_EXE  "DNF.exe"  //要检索的进程名
//////////////////////////////////////////////////////////////////////
//  名称:  Nakd_NtOpenProcess
//  功能:  My_RecoveryHook_NtOpenProcess的中继函数
//  参数:  
//  返回:  
//////////////////////////////////////////////////////////////////////
static NAKED VOID  Nakd_NtOpenProcess()
{//获得调用者的EPROCESSprocessEPROCESS = IoGetCurrentProcess();//将调用者的进程名保存到str1中RtlInitAnsiString(&p_str1,(ULONG)processEPROCESS+0x174);//将我们要比对的进程名放入str2RtlInitAnsiString(&p_str2,DNF_EXE);if (RtlCompareString(&p_str1,&p_str2,TRUE) == 0){//说明是DNF进程访问了这里__asm{push    dword ptr [ebp-38h]push    dword ptr [ebp-24h]push  p_ReturnAddressmov    eax,p_TpHookAddressjmp    eax}}else{__asm{push    dword ptr [ebp-38h]push    dword ptr [ebp-24h]push  p_ReturnAddressmov    eax,ObOpenObjectByPointerAddressjmp    eax}}
}//////////////////////////////////////////////////////////////////////
//  名称:  My_RecoveryHook_NtOpenProcess
//  功能:  解除游戏保护对NtOpenProcess的HOOK
//  参数:  
//  返回:  状态
//////////////////////////////////////////////////////////////////////
NTSTATUS My_RecoveryHook_NtOpenProcess()
{BYTE    *NtOpenProcessAddress      = NULL;  //NtOpenProcess的地址BYTE    *p = NULL;      //临时TOP5CODE  *top5code = NULL;  //保存5字节内容BYTE    JmpAddress[6] = {0xE9,0,0,0,0,0x90};KIRQL    Irql;//获取NtOpenProcess的地址NtOpenProcessAddress = (BYTE*)MyGetFunAddress(L"NtOpenProcess");if (NtOpenProcessAddress == NULL){KdPrint(("NtOpenProcess地址获取失败\n"));return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;}//获取ObOpenObjectByPointer的地址ObOpenObjectByPointerAddress = (BYTE*)MyGetFunAddress(L"ObOpenObjectByPointer");if (ObOpenObjectByPointerAddress == NULL){KdPrint(("ObOpenObjectByPointer地址获取失败\n"));return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;}//将p指向NtOpenProcess函数开始处p = NtOpenProcessAddress;//用一个无限循环来判断给定的特征码来确定被HOOK位置while (1){if ((*(p-7)    == 0x50) && (*(p-0xE)  == 0x56) &&(*(p+0xd)  == 0x50) &&(*(p+0x16)  == 0x3b) &&(*(p+0x17)  == 0xce) &&(*p      == 0xE8) &&(*(p+5)    == 0x8b) &&(*(p+6)    == 0xf8)){KdPrint(("%0X \n",(ULONG)p));break;}//推动指针向前走p++;}//将top5code指向 p 的当前处//用以取出 call [地址] 这5字节里面的地址top5code = (TOP5CODE*)p;p_TpHookAddress = (BYTE*)((ULONG)p+5+top5code->address);//找到我们写入自定义函数的地址p_MyHookAddress = p-6;//保存调用ObOpenObjectByPointer函数以后的返回地址p_ReturnAddress = p+5;//将一条JMP Nakd_NtOpenProcess写入到数组中*(ULONG *)(JmpAddress+1)=(ULONG)Nakd_NtOpenProcess - ((ULONG)p_MyHookAddress+5);WPOFF();  //清除CR0//提升IRQL中断级Irql=KeRaiseIrqlToDpcLevel();//写入RtlCopyMemory(p_MyHookAddress,JmpAddress,6);//恢复IrqlKeLowerIrql(Irql);WPON();    //恢复CR0return  STATUS_SUCCESS;
}

处理之后:

简而言之其原理就是，任何人调用了NtOpenProcess的时候会先进入
Nakd_NtOpenProcess函数，我们判断。如果是游戏进程访问的话，就有可能是验证之类的
我们转到它自己的函数里面。让它保持与ring3层的通信。否则的话，嘿嘿……

接下来是第3步处理debugport清零的这块了。
我想绝大多数人关心的都是这里了
网络上能搜多到的办法几乎都失效了
有办法的人又不肯放出来，急眼了就自己想了个土办法
虽然不那么时尚。但是绝对的奏效。
由于代码凌乱不堪，简单说下其原理。
我们定位内核模块TxxxSxxx.sys的首地址
然后根据特征码遍历整个模块找到我们需要的地方，然后干掉他们。
那么我们又如何能够通过人工的判断出来到底是哪里在作怪呢
利用syser或Start SoftICE对EPROCESS+BC处设置断点。就可以一层一层的追溯上去了
到底如何用他们，我想大家自己多花点时间在看雪和GOOGLE或者BAIDU上面是不会吃亏的。
由于ZwQuerySystemInformation函数的使用非常繁琐。而且篇幅有限。所以我只给出关键代码，至于这个函数如何使用。大家可以自己在搜索引擎找“枚举内核模块”

代码:

//////////////////////////////////////////////////////////////////////
//  名称:  MyEnumKernelModule
//  功能:  枚举内核模块
//  参数:  str:内核模块名称
//      moduleadd:该模块地址[传出]
//      modulesie:该模块大小[传出]
//  返回:  
//////////////////////////////////////////////////////////////////////
NTSTATUS MyEnumKernelModule(IN CHAR* str,OUT ULONG *moduleadd,OUT ULONG *modulesie)
{NTSTATUS status = STATUS_SUCCESS;ULONG   n       = 0;ULONG   i       = 0;PSYSTEM_MODULE_INFORMATION_ENTRY   module = NULL;PVOID   pbuftmp = NULL;ANSI_STRING    ModuleName1,ModuleName2;BOOLEAN  tlgstst= FALSE;  //如果找到了指定模块则设置为TRUE//利用11号功能枚举内核模块status = ZwQuerySystemInformation(11, &n, 0, &n);//申请内存pbuftmp = ExAllocatePool(NonPagedPool, n);//再次执行,将枚举结果放到指定的内存区域status = ZwQuerySystemInformation(11, pbuftmp, n, NULL);module = (PSYSTEM_MODULE_INFORMATION_ENTRY)((PULONG )pbuftmp + 1 );//初始化字符串 RtlInitAnsiString(&ModuleName1,str);//n       = *((PULONG)pbuftmp );for ( i = 0; i < n; i++ ){RtlInitAnsiString(&ModuleName2,&module[i].ImageName);//DbgPrint("%d\t0x%08X 0x%08X %s\n",module[i].LoadOrderIndex,module[i].Base,module[i].Size,module[i].ImageName);if (RtlCompareString(&ModuleName1,&ModuleName2,TRUE) == 0){DbgPrint("MyEnumKernelModule:%s:%0X \n",ModuleName2.Buffer,module[i].Base);*moduleadd  = module[i].Base;*modulesie  = module[i].Size;tlgstst = TRUE;break;}}ExFreePool(pbuftmp);if tlgstst == FALSE){return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;}return status;
}//////////////////////////////////////////////////////////////////////
//  名称:  My_Recovery_Debugport
//  功能:  恢复游戏对debugport的清零操作
//  参数:  
//  返回:  
//////////////////////////////////////////////////////////////////////
NTSTATUS My_Recovery_Debugport()
{NTSTATUS stats;BYTE  *sd1 = NULL,*sd2 = NULL,*pd = NULL;ULONG  ModuleSize,ModuleAddress,i,number = 0;BYTE  *p;KIRQL  Irql;BYTE  C390[2] = {0xc3,0x90};//获取指定的内核模块地址和字节数stats = MyEnumKernelModule("\\??\\c:\\windows\\system32\\tessafe.sys",&ModuleAddress,&ModuleSize);if (stats == FAILED_TO_OBTAIN_FUNCTION_ADDRESSES){return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES;}KdPrint(("Address:%0X Sie:%d \n",ModuleAddress,ModuleSize));//特征码/*  sd1特征p-1:18 p-2:87 p-3:DB p-4:33 p-5:07 p-6:03 p  :33 p+1:C0 p+7:3B p+8:D8sd2特征p-1:07 p-2:87 p-3:c0 p-4:33 p+14:89p+15:1c p+16:38*///将P指向内核模块开始处p = (BYTE*)ModuleAddress + 20;for (i = 0; i < ModuleSize - 20; i++,p++){//sd1if ((*(p-1) == 0x18) &&(*(p-2) == 0x87) &&(*(p-3) == 0xDB) &&(*(p-4) == 0x33) &&(*(p-5) == 0x07) &&(*(p-6) == 0x03) &&(*p    == 0x33) &&(*(p+1) == 0xC0) &&(*(p+7) == 0x3B) &&(*(p+8) == 0xD8) ){KdPrint(("--SD1 -- %0X \n",(ULONG)p));sd1 = p;number+=1;  //记录已经获取一个特征}//sd2if ((*(p-1) == 0x07) &&(*(p-2) == 0x87) &&(*(p-3) == 0xC0) &&(*(p-4) == 0x33) &&(*(p+14)== 0x89) &&(*(p+15)== 0x1C) &&(*(p+16)== 0x38) &&(*p    == 0xA1)){KdPrint(("--SD2 -- %0X \n",(ULONG)p));sd2 = p;number+=1;  //记录已经获取一个特征}//pdif ((*(p-2) == 0xE3) &&(*(p-3) == 0xC1) &&(*(p-7) == 0xF3) &&(*(p-8) == 0x33) &&(*(p-10)== 0xEB) &&(*(p-11)== 0xC1) &&(*(p+1) == 0xF3) &&(*(p+2) == 0x42) &&(*(p+3) == 0x3B) &&(*(p+4) == 0xD1) &&(*p    == 0x33)){KdPrint(("--PD -- %0X \n",(ULONG)p));pd = p;number+=1;  //记录已经获取一个特征}if (number >= 3){KdPrint(("特征 %d ---退出\n",number));break;}}//首先干掉监视函数while (1){if ((*(pd-1) == 0xcc) && (*(pd-2) == 0xcc)){KdPrint(("pd首地址:%0X \n",(ULONG)pd));WPOFF();  //清除CR0//提升IRQL中断级Irql=KeRaiseIrqlToDpcLevel();//写入RtlCopyMemory(pd,C390,2);//恢复IrqlKeLowerIrql(Irql);WPON();    //恢复CR0break;}pd--;}//干掉2个SDwhile (1){if ((*(sd1-1) == 0xcc) && (*(sd1-2) == 0xcc)){KdPrint(("sd1首地址:%0X \n",(ULONG)sd1));WPOFF();  //清除CR0//提升IRQL中断级Irql=KeRaiseIrqlToDpcLevel();//写入RtlCopyMemory(sd1,C390,2);//恢复IrqlKeLowerIrql(Irql);WPON();    //恢复CR0break;}sd1--;}while (1){if ((*(sd2-1) == 0xcc) && (*(sd2-2) == 0xcc)){KdPrint(("sd2首地址:%0X \n",(ULONG)sd2));WPOFF();  //清除CR0//提升IRQL中断级Irql=KeRaiseIrqlToDpcLevel();//写入RtlCopyMemory(sd2,C390,2);//恢复IrqlKeLowerIrql(Irql);WPON();    //恢复CR0break;}sd2--;}return  STATUS_SUCCESS;
}

最后，处理一下硬件断点就可以了
这里我们使用到了SSDT HOOK
分别HOOK了 SSDT 表中索引为 0xD5和0x55的函数。由于这里比较简单
我想10个人有9个人懂得SSDT HOOK的。所以直接给出源码，不做原理分析了

代码:

//处理硬件断点时
ULONG    uNtSetContextThreadAddress;
ULONG    uNtGetContextThreadAddress;
ULONG    TenNtSetContextThread, TenNtGetContextThread;
//////////////////////////////////////////////////////////////////////
//  名称:  _MyNtGetThreadContext
//  功能:  两个SSDT HOOK伪造函数的中继函数
//  参数:  
//  返回:  
//////////////////////////////////////////////////////////////////////
static NAKED NTSTATUS Nakd_NtGetThreadContext(HANDLE hThread, PCONTEXT pContext)
{__asm{jmp    dword ptr[TenNtGetContextThread]}
}static NAKED NTSTATUS Nakd_NtSetThreadContext(HANDLE hThread, PCONTEXT pContext)
{__asm{jmp    dword ptr[TenNtSetContextThread]}
}
//////////////////////////////////////////////////////////////////////
//  名称:  MyNtGetThreadContext && MyNtSetThreadContext
//  功能:  NtGetThreadContext与NtSetThreadContext函数被SSDT HOOK的伪造函数
//  参数:  
//  返回:  
//////////////////////////////////////////////////////////////////////
NTSTATUS MyNtGetThreadContext(HANDLE hThread, PCONTEXT pContext)
{if ( _stricmp((const char*)PsGetProcessImageFileName(PsGetCurrentProcess()),DNF_EXE) ){return Nakd_NtGetThreadContext(hThread, pContext);}return STATUS_UNSUCCESSFUL;
}NTSTATUS MyNtSetThreadContext(HANDLE hThread, PCONTEXT pContext)
{if ( _stricmp((const char*)PsGetProcessImageFileName(PsGetCurrentProcess()),DNF_EXE) ){return Nakd_NtSetThreadContext(hThread, pContext); }//DbgPrint("Dr7:%08X\n", pContext->Dr7);if ( pContext->Dr7 == 0x101 ){return Nakd_NtSetThreadContext(hThread, pContext); }return STATUS_UNSUCCESSFUL; 
}//////////////////////////////////////////////////////////////////////
//  名称:  My_Recovery_HardwareBreakpoint
//  功能:  通过对set与get进行SSDT HOOK来恢复硬件断点
//  参数:  
//  返回:  
//////////////////////////////////////////////////////////////////////
NTSTATUS My_Recovery_HardwareBreakpoint()
{KIRQL    Irql;//获取地址uNtSetContextThreadAddress = (ULONG)KeServiceDescriptorTable->ServiceTableBase+0xD5 * 4;uNtGetContextThreadAddress = (ULONG)KeServiceDescriptorTable->ServiceTableBase+0x55 * 4;TenNtSetContextThread = *(ULONG*)uNtSetContextThreadAddress;TenNtGetContextThread = *(ULONG*)uNtGetContextThreadAddress;KdPrint(("Set地址:%0X\n",TenNtSetContextThread));KdPrint(("Get地址:%0X\n",TenNtGetContextThread));KdPrint(("Process:%0X \n",(ULONG)p_MyHookAddress));KdPrint(("Thread:%0X \n",(ULONG)t_MyHookAddress));WPOFF();  //清除CR0//提升IRQL中断级Irql=KeRaiseIrqlToDpcLevel();//完成SSDT HOOK*(ULONG*)uNtGetContextThreadAddress = (ULONG)MyNtGetThreadContext;*(ULONG*)uNtSetContextThreadAddress = (ULONG)MyNtSetThreadContext;//恢复IrqlKeLowerIrql(Irql);WPON();    //恢复CR0return STATUS_UNSUCCESSFUL; 
}

另外还有一些功能型的函数一并给出，省的大家迷糊
我也算服务到位了，再看上面代码迷糊的时候。看这里找找
看看有没有能用到的，或者翻一下我以往的帖子。里面应该有

代码:

//保存5字节代码的结构
#pragma pack(1)
typedef struct _TOP5CODE
{UCHAR  instruction;  //指令ULONG  address;    //地址
}TOP5CODE,*PTOP5CODE;
#pragma pack( )//ssdt表结构
typedef struct _ServiceDescriptorTable {PVOID ServiceTableBase;    //System Service Dispatch Table 的基地址  PVOID ServiceCounterTable;//包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysenter 更新。 unsigned int NumberOfServices;//由 ServiceTableBase 描述的服务的数目。  PVOID ParamTableBase; //包含每个系统服务参数字节数表的基地址-系统服务参数表 
}*PServiceDescriptorTable;
//由SSDT索引号获取当前函数地址
//NtOpenProcess  [[KeServiceDescriptorTable]+0x7A*4]
extern PServiceDescriptorTable KeServiceDescriptorTable;//////////////////////////////////////////////////////////////////////
//  名称:  MyGetFunAddress
//  功能:  获取函数地址
//  参数:  函数名称字符串指针
//  返回:  函数地址
//////////////////////////////////////////////////////////////////////
ULONG MyGetFunAddress( IN PCWSTR FunctionName)
{UNICODE_STRING UniCodeFunctionName;RtlInitUnicodeString( &UniCodeFunctionName, FunctionName );return (ULONG)MmGetSystemRoutineAddress( &UniCodeFunctionName );   
}//////////////////////////////////////////////////////////////////////
//  名称:  myGetCurrentAddress
//  功能:  获取SSDT表中指定函数的当前地址
//  参数:  index:指定函数在表中的索引号
//  返回:  地址
//////////////////////////////////////////////////////////////////////
ULONG myGetCurrentAddress(IN ULONG index)
{ULONG    SSDT_Cur_Addr;__asm{push  ebxpush  eaxmov    ebx,KeServiceDescriptorTablemov    ebx,[ebx]mov    eax,indexshl    eax,2add    ebx,eaxmov    ebx,[ebx]mov    SSDT_Cur_Addr,ebxpop    eaxpop    ebx}return  SSDT_Cur_Addr;
}VOID WPOFF()
{__asm{climov eax,cr0and eax,not 10000hmov cr0,eax}
}VOID WPON()
{__asm{mov eax,cr0or eax,10000hmov cr0,eaxsti}
}

记在最后面的话：大家要善用搜索引擎(建议学习google hacking技巧)，勤做笔记，最后要说的依然是感谢，感谢GOOGLE\BAIDU\PEDIY\DEBUGMAN。还有那些默默发帖的人~

如果有时间的话，我会将其他几个游戏保护的分析资料也放出来
什么GPK\HP\HS的。大家不要催不要急，一定会放出来的。等到我觉得这些东西都没有挑战性的时候那么也就不会再有资料陆续放出来了……
如果有好东西记得与我分享哈

查看全文
如若内容造成侵权/违法违规/事实不符，请联系编程学习网邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！

csdn有家了。
csdn有家了，欢迎大家常来哦。...
2024/4/17 8:22:04
计算广告的四种形式:谁在弄潮？
在互联网人探索计算道路的时候，意外发现了数据的价值，并将之发扬光大。前言：你以为你在买东西时，是真的喜欢这个品牌吗？恐怕更多的原因，是你在互联网上见这个品牌见得更多而已。这也提醒我们互联网人，在追求技术卓越的同时，也要主动思考背后资本的力量，因为很多时候技…...
2024/4/19 2:39:57
梯度爆炸与梯度消失是什么？有什么影响？如何解决？
文章目录一、梯度爆炸1.什么是梯度爆炸？2.有何影响？二、梯度消失1.定义2.有何影响？三、共同点1.产生原因2.解决办法a. 方案1-预训练加微调b. 方案2-梯度剪切、正则化c. 方案3-relu、leakrelu、elu等激活函数解决方案4-batchnorm/批规范化解决方案5-残差结构解决方案6-LSTM 梯…...
2024/4/17 8:21:40
Mybatis和hibernate的一级，二级缓存问题
Mybatis .一级缓存（sqlSession)一级缓存是SqlSession自带的。SqlSession对象被创建，一级缓存就存在了。如果SqlSession对象关闭或调用清理方法，会导致缓存失效。缓存底层实现就是通过HashMap实现的。一级缓存介质——内存3.二级缓存(cacheEnabled)二级缓存介质——内存，硬盘…...
2024/4/17 8:23:04
知识点-线性代数
索引向量矩阵行列式特征值和特征向量研究对象：向量、矩阵、行列式；线性：一次形式来表达的；代数：符号替代元素和运算； https://www.jianshu.com/p/21aea5108d83 pdf:线性代数的几何意义向量向量的矩阵表示法，向量的模，单位向量，法向量在自由向量的意义下，相等的…...
2024/4/19 12:17:48
语义分割的奇技淫巧 - 知乎回答[转]
出处：有关语义分割的奇技淫巧有哪些？ - 知乎作者：AlexL作者的 Github 项目：liaopeiyuan/ml-arsenal-public.项目里会有作者所有参与过的Kaggle竞赛的源代码，目前有两个Top 1% solution：TGS Salt和Quick Draw Doodle.1. 如何优化 IoU在分割中我们有时会去用 IoU(intersect…...
2024/4/17 8:22:34
8051单片机
1. 老古开发网单片机与嵌入式专业网站:国内比较早的关于这方面开发的网站。它的FTP服务是非常不错的，里面的资料比较全。更新较快。http://www.laogu.com/ - 中文2. EG3关于嵌入式开发的站点，提供非常多关于嵌入式开发的资料。包括开发公司，技术文档，免费资源等等。版面包括…...
2024/4/20 0:26:46
Hibernate一级缓存、二级缓存以及查询缓存的关系
前两天总结了一下二级缓存和查询缓存的关系，但是又有一个新的问题，就是查询缓存缓存到二级缓存的数据，在第三次（第一次缓存中没有数据，查询数据库将对应的ID值存入到二级缓存中去，第二次如果是同一个Session那么将会把数据一级缓存中的数据返回，如果不是同一个Session而…...
2024/4/19 17:23:40
Slow down：快时尚自救计划
Forever 21退出中国的消息还没多久，紧接着就传来了美国总公司寻求破产保护的噩耗。这家快时尚巨头的命运，让整个行业的困与惑被彻底摊到了大众眼前。人们发现，不仅Forever 21药石无灵，ZARA母公司Inditex2018全年净利润创下了五年新低，H&M放缓了开店速度，Topshop母公司…...
2024/3/31 20:18:30
tensorflow劝退（6.27）
一、什么是激励函数？TF中常用的激励函数有那些？激励函数的作用就是将多个线性输入转换为非线性的关系。常用的激励函数主要有：ReLU、ReLU6、sigmoid、tanh、softsign、ELU等。二、任何函数都有梯度吗？如果不是，那么一个函数具有梯度的条件是什么？该节点操作不可导三…...
2024/4/17 8:21:52
对一道线性代数考研题的讨论
http://download1.csdn.net/down3/20070602/02182341796.pdf...
2024/4/17 8:22:46
Hibernate二级缓存的管理
类似于一级缓存，Hibernate同样提供了方法来操作SessionFactory的二级缓存所缓存的实体： SessionFactory提供了一个getCache( )方法，该方法的返回值是Cache对象，通过该对象即可操作二级缓存中的实体、集合等。例如如下代码片段：Cache cache=sessionFactory.getCache(); cac…...
2024/4/17 8:23:04
【编程书籍大系】计算机开放电子书汇总
计算机开放电子书汇总站点站点源码 100个gcc小技巧在线阅读 PDF格式 EPUB格式 MOBI格式 100个gdb小技巧在线阅读 PDF格式 EPUB格式 MOBI格式关于浏览器和网络的 20 项须知在线阅读 PDF格式 EPUB格式 MOBI格式 2015互联网企业校招笔试题 MEGA下载 Github下载 3周3页面在线…...
2024/4/17 8:22:34
各主流工作流引擎算法
PetriNet\FSM\EPC\XPDL\Activity Diagram\jPDL--BPEL\BPMN\BPMD工作流引擎是基于过程建模来实现的，因此可以说常见的引擎实现有这几种： EPC是一种过程建模方法，全称是Event-driven Process Chain。 FSM 有限状态机。 PetriNet：Petri网模型。 Activity Diagram：UML活动图。…...
2024/4/17 8:23:52
[转观点]提升Web2.0网站流量五大秘诀：应采用游戏机制
[from:http://news.iresearch.cn/0200/20070810/68635.shtml]　　导语：国外媒体今天发表分析文章称，Web2.0专家埃米乔基姆(Amy Jo Kim)认为，Web2.0创业公司应当采用游戏机制，打造有趣、吸引人的网站，这样才能吸引更多用户，并提升网络流量。在打造自己的社交网站之前，查…...
2024/4/17 8:22:40
hibernate--一级和二级缓存（使用Ehcache）以及查询缓存
有一下几点需要理清才行：一级缓存是session缓存 session关闭就小时二级缓存是sessionFactory级别的缓存一个应用程序只有一个多个线程共享不要把经常修改的对象放到二级缓存中二级缓存中放一些查询的对象 1 首先是在hibernate,cfg.xml文件中进行配置：添加下列配置项&…...
2024/4/17 8:24:30
GAUSSIAN ERROR LINEAR UNITS (GELUS)翻译
摘要我们提出了高斯误差线性单元（GELU），它一种高性能的神经网络激活函数。GELU的非线性是随机正则化器的预期变换，随机正则化器（防止过拟合）将等式或零映射随机应用于神经元的输入。GELU的非线性按其幅度输入，而不是按照ReLU中的符号进行门控输入。我们针对ReLU和ELU激…...
2024/4/17 13:28:20
模数采样知多少
关注、星标嵌入式客栈，干货及时送达[导读] 生活环境周围信号万万千，对于一个嵌入式er。我们利用技术去了解世界、改变世界。而一个产品要与外界物理环境打交道，一个至关重要的触角就是采样真实模拟世界的信号，翻译成芯片可理解的数字信号，进而实现很多为人服务的应用产品…...
2024/4/17 8:22:58
MIT线性代数Linear Algebra公开课笔记第九讲线性相关性、基、维数（lecture 9 Independence, Basis and Dimension）
本节是Gilbert Strang的MIT线性代数Linear Algebra公开课中【第九讲线性相关性、基、维数（lecture 9 Independence, Basis and Dimension）】的笔记，参考他在 MIT Linear Algebra课程网站上公开分享的 lecture summary (PDF) & Lecture video transcript (PDF)等文档，整…...
2024/4/17 8:23:04
Java学习之道：hibernate二级缓存的实现
对于Hibernate这类ORM而言,缓存显的尤为重要,它是持久层性能提升的关键.简单来讲Hibernate就是对JDBC进行封装,以实现内部状态的管理,OR关系的映射等,但随之带来的就是数据访问效率的降低,和性能的下降,而缓存就是弥补这一缺点的重要方法. 缓存就是数据库数据在内存中的临时…...
2024/3/31 20:18:21

【原创】散谈游戏保护那点事~就从_TP开始入手吧

相关文章

最新文章