易语言教程_易语言源码_易语言视频教程_易语言论坛

 找回密码
 点击注册

Vip新手入门区
新手学习指南  学员作品展示 Vip课程总纲  Vip绝密课程系列

Vip相关下载区
Vip模块下载   Vip模块绑定   Vip模块例子 魔鬼插件下载  魔鬼插件例子  教程工具下载

Vip论坛服务区
教程问题提问区   模块问题提问区 技术交流区   魔鬼插件建议   忘记密码找回

VIP会员办理QQ: 8643245   
【请先加好友,然后到好友列表双击联系客服,办理VIP会员。】
【基础篇】易语言辅助入门基础教程
VIP模块办理QQ: 7189694 办理正版魔鬼作坊VIP模块 【基础篇】OD与CE入门基础教程
办理【终身VIP会员】“秒杀价” 仅需 RMB278.00元… 【基础篇】零基础绝密汇编语言入门课程 (共26课已完成)…
办理VIP详情…猛击这里查看详情 【基础篇】VIP辅助入门基础教程-新手必学 已发布10课 ……
VIP教程免费试看章节…猛击下载 【第1款】制作“辅助挂”教程目录查看(共107+16_x64下更新课已完成)…
亲爱的VIP学员,请到此写下你学习的感受与发布作品截图… 【第2款】制作“任务挂”教程目录查看(共77+1_x64下更新课已完成)…
卍解吧!不用bp send类封包断点找CALL的各种通杀思路 【第3款】驱动过保护技术课程(共38课已完成)…
【绝密教程】VIP绝密教程系列---注意:随时会更新! 【第4款】VIP邪恶二叉树辅助课程 (共31+17_x64下更新课已完成)…
【精品第13款】3D射击游戏与页游透视 智辅课程 已完成17课… 【第5款】零基础易语言按键辅助教程 (30课已完成)…
【精品第14款】变态功能辅助是如何炼成的 已完成36课… 【第6款】从零开始学习封包辅助技术教程(20课已完成) …
【精品第15款】DNF商业变态辅助的修炼之路 已完成27课… 【第7款】大杀特杀分析来源与CALL吸血鬼课程 (56课已完成)
【精品第16款】中控台多线程多开自动化商业辅助课程 已完成66课… 【第8款】完全零基础网页辅助课程(40课已完成)
【全新精品第17款】检测原理与过游戏内存检测技术课程 已发布9课… 【第9款】自动登录与操控LUA技术课程 (共46+8_x64下更新课已完成)…
【全新精品第18款】手游全自动化任务脚本辅助课程 已发布25课…… 【第10款】网页辅助封包脱机进阶课程 已完成30课…
【全新精品第19款】D3D方框骨骼透视与自瞄辅助课程进阶篇 已发布34课…… 【第11款】VC++ Lua脚本辅助课程 已完成112课…
【全新精品第20款】 X64模拟器吃鸡游戏方框透视自瞄辅助课程 发布中... 【第12款】网游脱机封包智辅课程 已完成35课…
查看: 2530|回复: 0

新手目前过驱动HOOK保护的常见方法

[复制链接]

11

主题

5

回帖

19

积分

编程入门

Rank: 1

魔鬼币
555
发表于 2017-5-30 08:03:09 | 显示全部楼层 |阅读模式
运行游戏后,那么游戏驱动保护了R0函数修改或 r3函数被修改。也差不多HOOK了某函数内部字节或函数前几个字节,我们可以用工具对比一下内核数据HOOK前字节或HOOK后字节,以及RIN3函数。

当然可以自己制作工具写个读取内核数据然后自己把字节反汇编,OD官方站点就有开源插件下载,

我们就复盖悼这些被修改的字节。


hook NtOpenProcess  inline hook 5字节


kd> u 0x805751e6  NtOpenProcess地址
kd> u 0x805751e6////                        没HOOK之前我们看看 下面汇编
ReadVirtual: 805751e6 not properly sign extended
805751e6 68c4000000      push    0C4h
805751eb 68d8b04e80      push    offset nt!ObWatchHandles+0x25c (804eb0d8)
805751f0 e846e2f6ff      call    nt!_SEH_prolog (804e343b)
805751f5 33f6            xor     esi,esi
805751f7 8975d4          mov     dword ptr [ebp-2Ch],esi
805751fa 33c0            xor     eax,eax
805751fc 8d7dd8          lea     edi,[ebp-28h]
805751ff ab              stos    dword ptr es:[edi]

kd> u 0x805751e6///HOOK之后    HOOK后函数体
ReadVirtual: 805751e6 not properly sign extended
805751e6 68c4000000      push    0C4h
805751eb e9186d8101      jmp     81d8bf08//跳转地址跳转到我们自己定义的函数
805751f0 e846e2f6ff      call    nt!_SEH_prolog (804e343b)
805751f5 33f6            xor     esi,esi
805751f7 8975d4          mov     dword ptr [ebp-2Ch],esi

kd> u 0x81d8bf08///我们自己字义的函数
ReadVirtual: 81d8bf08 not properly sign extended
81d8bf08 68d8b04e80      push    offset nt!ObWatchHandles+0x25c (804eb0d8)
81d8bf0d e8297575fe      call    nt!_SEH_prolog (804e343b)////复盖指令


81d8bf12 e9de927efe      jmp     nt!NtOpenProcess+0xf (805751f5)这里 跳转原函数前+0xf十六字节
81d8bf17 0002            add     byte ptr [edx],al
81d8bf19 0000            add     byte ptr [eax],al
81d8bf1b 0030            add     byte ptr [eax],dh
81d8bf1d 006900          add     byte ptr [ecx],ch
81d8bf20 52              push    edx



再解释。。。。。。。。。
一段复盖指令
mov  eax,xxxxaddr
add  eax,xxh
push eax
jmp  funtion跳转到函数
当函数返回到EAX值继续运行
push xxx
ret  



以下和上面一样方法
未    HOOK inline  NtWriteVirtualMemory
kd> u 0x80580055
ReadVirtual: 80580055 not properly sign extended
80580055 6a1c            push    1Ch
80580057 68408e4f80      push    offset nt!MmClaimParameterAdjustDownTime+0xa8 (804f8e40)
8058005c e8da33f6ff      call    nt!_SEH_prolog (804e343b)
80580061 64a124010000    mov     eax,dword ptr fs:[00000124h]
80580067 8bf8            mov     edi,eax
80580069 8a8740010000    mov     al,byte ptr [edi+140h]
8058006f 8845e0          mov     byte ptr [ebp-20h],al
80580072 8b7514          mov     esi,dword ptr [ebp+14h]
HOOK inline  NtWriteVirtualMemory后
kd> u 0x80580055
ReadVirtual: 80580055 not properly sign extended
80580055 6a1c            push    1Ch
80580057 e9c4e57601      jmp     81cee620
8058005c e8da33f6ff      call    nt!_SEH_prolog (804e343b)
80580061 64a124010000    mov     eax,dword ptr fs:[00000124h]
80580067 8bf8            mov     edi,eax
80580069 8a8740010000    mov     al,byte ptr [edi+140h]
8058006f 8845e0          mov     byte ptr [ebp-20h],al
80580072 8b7514          mov     esi,dword ptr [ebp+14h]

kd> u 0x81cee620
ReadVirtual: 81cee620 not properly sign extended
81cee620 68408e4f80      push    offset nt!MmClaimParameterAdjustDownTime+0xa8 (804f8e40)///这段也就是复盖指令
81cee625 e8114e7ffe      call    nt!_SEH_prolog (804e343b)
81cee62a e9321a89fe      jmp     nt!NtWriteVirtualMemory+0xc (80580061)//原函数+跳到12字节后
81cee62f 0000            add     byte ptr [eax],al
81cee631 0000            add     byte ptr [eax],al
81cee633 0000            add     byte ptr [eax],al
81cee635 0000            add     byte ptr [eax],al
81cee637 0000            add     byte ptr [eax],al
您需要登录后才可以回帖 登录 | 点击注册

本版积分规则

魔鬼作坊|易语言教程|易语言源码|易语言论坛|易语言视频教程| 论坛导航|免责申明|手机版||网站地图
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表魔鬼作坊立场!
任何人不得以任何方式翻录、盗版或出售本站视频,一经发现我们将追究其相关责任!
我们一直在努力成为最好的编程论坛!
Copyright© 2010-2019 All Right Reserved.
快速回复 返回顶部 返回列表