差异分析定位Ring 3保护模块

最新推荐文章于 2024-04-21 17:34:39 发布
原创 最新推荐文章于 2024-04-21 17:34:39 发布 · 111 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#游戏 #防火墙

本文介绍了一种通过比较原生DLL文件与内存中的差异来定位Ring3游戏保护模块的方法。通过对ntdll.dll等核心DLL文件的分析,揭示了游戏保护系统如何通过Hook关键函数来实现防调试和保护内存。

 

差异分析定位Ring 3保护模块

 

由于保护模块通常会Hook操作系统的原生DLL接口来进行保护,所以可以采用差异比较原生DLL文件和加载到内存中的原生DLL直接的差别来定位Ring 3模块。

 

在分析的过程中,为了防止被Ring 3保护模块发现,暂时可以先把除了自己线程外的其他线程暂停,如图8-14所示。

 

 

8-14  悬挂除自己线程外的其他线程

 

从图8-14中可以看出,除自己线程外,该游戏有58个线程,可以通过SuspendThread()函数悬挂这些线程以便后续的分析(GS的命令就是ste序号)。

 

下面,我们再对3个常用原生DLL——ntdll.dllkernel32.dlluser32.dll进行文件和内存的比较,如图8-15所示。

 

 

8-15  差异分析原生DLL的变化

 

从图8-15中可以看出,ntdll.dll3处地址发生了变化,分别是0x7c9212300x7c92DEB60x7c97077B。下面让我们看看这3处地址目前的指令是什么,如图8-16所示。

 

 

8-16  两处地址jmp指令

 

在图8-16中,有一处jmp指令是跳入地址0x45320F0。让我们看看它属于哪个模块,如图8-17所示。

 

 

8-17  模块节信息

 

从图8-17的地址区间来看,是包含0x45320F0的,所以,在ntdll.dll中地址0x7c92deb6会跳入X.dll模块。到目前为止,我们基本可以判断ring 3下的游戏保护模块是X.dll

 

为了能更准确地判断X.dll是否是真的保护模块,下面让我们看看ntdll.dll3处发生变化的地址在原生ntdll.dll中的作用。

 

可以用IDAntdll.dll进行分析,然后定位地址0x7c9212300x7c92DEB60x7c97077B

 

如图8-18所示,原来此处地址是DbgBreakPoint函数。这个函数是供调试器下软件断点用的,而在游戏中却被改成了ret指令,这样做能起到防止下软件断点的作用。

 

 

8-18  0x7c921230地址所处函数

 

如图8-19所示,0x7c97077B地址是属于DbgUiRemoteBreakin函数的,这个函数的详细介绍可以参见张银奎老师的《软件调试》一书的第10.6.4节。这里还是简单说明一下这个函数的作用,以便读者能了解。

 

 

8-19  0x7c97077B地址所处函数

 

DbgUiRemoteBreakinntdll提供的用于在目标进程中创建远线程下软件断点的函数,其伪代码如下。

 

DWORD WINAPI DbgUiRemoteBreakin( LPVOID lpParameter)

{

   __try

{

       if(NtCurrentPeb->BeingDebugged)

           DbgBreakPoint();

}

__except(EXCEPTION_EXECUTE_HANDLER)

{

       Return 1;

}

RtlExitUserThread(0);

}

 

当调试器通过CreateRemoteThread函数在目标程序中创建DbgUiRemoteBreakin线程的时候,从代码上来看是下了int 3软件断点。由于在被调试状态,所以调试器可以捕获这个异常。如果目标程序没有被调试的话,DbgUiRemoteBreakin中的S.H.E显然可以捕获并处理它。

 

所以,游戏保护系统在对DbgUiRemoteBreakin进行jmp操作,很明显是为了防止被调试。下面再看看保护系统从DbgUiRemoteBreakin跳到了哪里。

 

如图8-20所示是保护系统从DbgUiRemoteBreakin跳入执行的函数,很明显,LdrShutdownProcess是一个关闭进程的函数。

 

 

8-20  0x7C943DEF地址所处函数

 

下面再让我们看看地址0x7c92DEB6处的含义。

如图8-21所示,保护模块对ZwProtectVirtualMemory函数进行了Hook,以防止虚拟内存所在页面的保护属性被改变。

 

 

 

8-21  0x7c92DEB6地址所处函数

 

关于更多分析游戏保护方案的思路见<<游戏外挂攻防艺术>>8章。

 

 

作者简介

 

徐胜,2009年于电子科技大学获得计算机科学与工程硕士学位,现就职于阿里巴巴,从事移动安全的研究和移动产品的研发,主要研究方向包括:Windows平台下的木马、外挂、Rootkit、防火墙和二进制逆向分析,AndroidiOS客户端软件安全,以及WebWAP安全。

 

本文节选自《游戏外挂攻防艺术》一书。徐胜著,由电子工业出版社出版。

 

 

 

 

 

ntdll.dll学习总结
bcbobo21cn的专栏
10-16 1万+
ntdll.dll ntdll.dll描述了windows本地NTAPI的接口。是重要的Windows NT内核级文件。当Windows启动时,ntdll.dll就 驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。[1]  中文名 ntdll.dll 外文名 NT Layer DLL 版    本 6.3.9600.17736 系统DLL文件 是 属    于 Wind
GalaxyAP过游戏反调试框架
11-23
工程说明: 1.GalaxyAP 应用程序 2。HookPortBypass 重加载内核(包括nt和win32k) 3。TEST_KIDISPAT 自分发异常(朋友帮忙实现了部分,代码主要来源WRK) ps:hookport代码抄网上的,来源http://www.m5home.com/bbs/forum.php 这套GalaxyAP工程主要实现了: 1。重加载内核(借助 hookport思路配合peloader) 2.自实现异常分发的几个主要函数 3。自创建debugobject,使用另一个object 3。也使用了另一个fastmute 4。自己发现吧。。。 PS:驱动的加载有时候在游戏前好使有时候在启动游戏后好使 PPS:这货也只能在XP上跑了 实现了HOOK框架,只需要按下面填写即可 ////////////////////////////////////////////// //这是为了HOOK原来的ntos,转到新的os中 VOID (WINAPI *DUMMYFUCK )(IN PVOID Object); // VOID (WINAPI *PspUserThreadStartup )(IN PVOID Object); // VOID (WINAPI *PspSystemThreadStartup )(IN PVOID Object);
【原创】RING3过主防读物理内存、读写IO端口
OSReact的专栏
07-12 1657
最近拜读了王爽老师的《汇编语言》,学到了不少东西,终于能勉强逆点简单的小程序了。于是想到了Extreme神犇很早以前提出的这个点子:调用带正规签名的驱动来干坏事- - 鲁大师有正规数字签名,所以它的驱动加载时不会被主防报警,而鲁大师驱动里也没有验证调用者,所以可以利用~ 灵感来自Extreme神犇~以前ASM完全不懂,用IDA只会F5,一看IoDispatchControl就苦逼了,所
浅谈inline HOOk之ring0下的进程保护
linuxheik的专栏
05-09 2401
浅谈inline HOOk之ring0下的进程保护 在上一篇中说了一下ring3下简单的inline HOOK,写函数开头的方法还是比较通用的,而Call钩子虽然有隐蔽的优点,却需要对目标函数进行反汇编,都不适合大规模使用,还有push 、ret的方法,熟习的API的压栈原理,就很简单的,这些问题以后再讨论,这次我将上一篇文章里的代码移植到了ring0下,用来实现进程保护,rin
NTDLL.dll4 : Load and Unload (ZT)
it技术学习
07-14 1410
一、前言 在前一段时间,我遭遇了一个现象诡异的Bug,最后原因归结 为在DllMain里错误地调用了FreeLibrary(在本文最后对此Bug有详细的解释)。MSDN里关于禁止在DllMain里调用 LoadLibrary和FreeLibrary的解释过于含糊不清,所以我重温了一遍Russ Osterlund的"Windows 2000 Loader"一文,并仔细阅读了泄漏的Win20
游戏保护模块
零点起步
04-15 2446
第八章:定位游戏保护模块 GameSpider kernel Detective 1.定位ring0驱动级保护模块可以用KD比较游戏启动前后差异。 2.定位ring3可以hook低层接口再栈回塑。(游戏可以自加载同一模块的另一份来用,此时hook无效) 3.保护模块可能hook系统原生dll接口来保护,此时可以比较原生dll文件与加载到内存的映像来定位哪些被HOOK。 为防止被保护模块
【论文笔记】3D LiDAR-Based Global Localization Using Siamese Neural Network
qq_46480130的博客
10-27 708
【论文笔记】3D LiDAR-Based Global Localization Using Siamese Neural Network    ~~~       ~~~~     在本文基于从神经网络中学习到的降维扫描表示,提出了一种全局定位的解决方案,即首先实现位置识别,然后在全局先验图中进行度量姿态估计。具体来说,我们提出了一种使用人工统计和孪生网络的 3D 光
Ring Initialization Failed(亲测可用).md
09-02
该错误信息的含义可能因软件库、编程语言和使用环境的不同而有所差异,但核心问题在于环形数据结构未能成功初始化。 当遇到“Ring Initialization Failed”错误时,可以采取以下通用解决步骤: 1. 检查错误信息:...
【Cadence波形故障诊断深度解析】:系统性分析与问题定位指南
[【Cadence波形故障诊断深度解析】:系统性分析与问题定位指南](https://www.grandmetric.com/wp-content/uploads/2018/12/xsine-waves-2-1024x576.jpg.pagespeed.ic.jeUNJMdWFI.jpg) # 摘要 Cadence波形故障诊断是...
OpenStack 常见模块
2301_77081516的博客
04-21 2228
Keystone 类似一个服务总线, 或者说是整个 Openstack 框架的注册表,其他服务通过 keystone 来注册其服务的 Endpoint,任何服务之间相互的调用,需要经过 Keystone 的身份验证,并获得目标服务的 Endpoint,从而找到目标服务。在 keystone 中包含一个端点模板,这个模板提供了所有已存在的服务的端点信息。在文件系统中,对象以二进制文件的形式存储,它的元数据存储在文件系统的扩展属性(xattr)中, 建议采用默认支持扩展属性(xattr)的 XFS 文件系统。
ring3实现任务管理器的进程防杀
11-27
ring3实现任务管理器的进程防杀 C++源码 包括DLL,可用于c#调用,在个windows平台测试通过
深层解析最核心的dll:NTDLL.dll
Tommy(凌飞)的专栏
09-23 6584
打开NTDLL.dll,惊奇的发现原来CRT的许多基本函数居然都是在这里实现的!甚至包括qsort,ceil这样的函数,还有臭名昭著的 strcpy(严格来讲,这只能怪使用者不当心)。堆的释放,进城管理,似乎都是在这。于是,我决定,仔细察看以下它,这1410个函数是做什么的.
ntdll!DbgUiRemoteBreakin工作原理
如鹿渴慕泉水的专栏
12-16 1141
0:067> uf ntdll!DbgUiRemoteBreakin ntdll!DbgUiRemoteBreakin: 77a8aed0 6a08 push 8 77a8aed2 684068ae77 push offset ntdll!QueryRegistryValue+0x13d4 (77ae6840) 77a8aed7 e8a4e3fdff call ntdll!_SEH_prolog4 (77a69280) 77a8aedc 64
XX游戏R3层反调试 初探
把梦想放飞在蓝色的天空里...
12-24 8845
转载于织梦未来 本机环境:win7 64位 首先用工具PC Hunter 来查看下应用层钩子   首先直接映入眼帘的就是DbgBreakPoint,DbgUiRemoteBreakin,DbgUserBreakPoint 这三个inline hook 对反调试做得手脚     len(1) ntdll.dll->DbgBreakPoint                0
Load and Unload - quoted from lostall
明日帝国的专栏-技术改进生活
12-04 6405
Load and Unloadlostall 一、前言在前一段时间,我遭遇了一个现象诡异的Bug,最后原因归结为在DllMain里错误地调用了FreeLibrary(在本文最后对此Bug有详细的解释)。 MSDN里关于禁止在DllMain里调用LoadLibrary和FreeLibrary的解释过于含糊不清,所以我重温了一遍Russ Osterlund的"Windows 2000 Loader"一
如何列出一个可执行档里输出的函数
hoboo的专栏
01-24 3552
 很久以前的东西,不小心翻了出来#include #include #include #include #include void PrintUsage(char * msg){ printf("|---------------------------------------------------------|/n"); printf("|   CreateDate: 2000-02-1
打印出ntdll.dll中所有函数名字和地址
dididisailor的博客
11-26 3555
0x01 打印出ntdll.dll中所有函数名字和地址 0x02 在任何进程中都可以找到ntdll.dll和kernel32.dll这个动态链接库的基地址,另外每一个动态链接库基地址实际上都存放在一个双向链表的节点上,只要找到这个双向链表,就可以找到所需要的动态链接库基地址,然后就可以调用乱七八糟的函数,将shellcode放在一个精妙的地方。 0x03 代码如下: // GetKern...
《Dive into Windbg系列》Explorer无法启动排查
hnzwx888的专栏
06-22 663
转载自:https://www.anquanke.com/post/id/179748 《Dive into Windbg》是一系列关于如何理解和使用Windbg的文章,主要涵盖三个方面: 1、Windbg实战运用,排查资源占用、死锁、崩溃、蓝屏等,以解决各种实际问题为导向。 2、Windbg原理剖析,插件、脚本开发,剖析调试原理,便于较更好理解Windbg的工作机制。 3、Windbg...
ring0 驱动 隐藏进程
最新发布
04-23
<think>好的,我现在需要处理用户关于ring0驱动程序隐藏进程技术实现的查询。首先,用户之前提到了想了解如何在ring0级别通过驱动隐藏进程,这可能涉及操作系统内核的底层机制。 根据系统级指令,我需要确保所有数学表达式和公式正确使用$或$$格式,并且用中文回答。同时,必须生成相关问题,并在回答中适当引用提供的参考资料。用户还提到参考站内引用[1]和[2],其中引用[1]讨论了微内核的结构,而引用[2]提到Windows内核使用链表管理进程,通过摘除链表节点来隐藏进程。 首先,我需要确定ring0驱动程序隐藏进程的常见方法。用户提到的引用[2]指出Windows用链表连接进程,摘掉链表中的进程可以隐藏。这可能是一种直接的内核对象操作方式。此外,可能还有其他方法,比如Hook系统调用或修改内核数据结构。 接下来,我需要验证这些方法的技术细节是否正确。例如,Windows内核中的进程管理确实使用EPROCESS结构,这些结构通过双向链表连接。修改活动进程链表的指针是传统的方法,但现在可能被安全软件检测到。此外,还有DKOM(直接内核对象操作)技术,直接修改这些结构。 另外,Hook系统调用如NtQuerySystemInformation可以过滤返回结果,隐藏特定进程。这种方法需要修改内核函数指针,但可能触发PatchGuard的保护机制,特别是在64位系统上。 引用[1]提到微内核将大部分功能放在用户空间,这可能与Windows的宏内核结构不同,但用户的问题集中在Windows,因此主要参考引用[2]的内容。 然后,需要考虑现代系统的防护措施,如PatchGuard和驱动签名验证,这些会影响隐藏技术的实现。例如,64位Windows要求驱动有有效签名,并且PatchGuard会检测内核关键结构的修改。 最后,生成相关问题需要涵盖技术方法、检测手段、现代系统限制和替代方案等方面,确保问题具有相关性和深度。 在组织回答时,结构要清晰,分点说明不同技术实现,并指出其局限性和现代应用中的挑战。同时,正确引用提供的资料,例如引用[2]提到的链表操作,以及可能的安全软件检测问题。 需要确保回答准确,同时避免错误的技术细节,比如过时的方法或已被防护机制阻止的技术。此外,提醒用户这些技术可能涉及法律问题,保持中立和客观。</think>### Ring0驱动隐藏进程技术实现分析 在Windows操作系统内核层面实现进程隐藏,主要依赖**直接内核对象操作(DKOM)**和**系统调用Hook**两种核心技术,这两种方法都需要通过Ring0级驱动程序实现内核态代码执行权限。 #### 一、活动进程链表操作法 Windows内核使用`EPROCESS`结构体管理进程[^2],所有活动进程通过双向链表连接。通过以下步骤可实现进程隐藏: 1. 定位目标进程的`EPROCESS`结构 2. 修改链表指针实现摘除操作: ```c // 伪代码示例 PLIST_ENTRY prev = targetProcess->ActiveProcessLinks.Blink; PLIST_ENTRY next = targetProcess->ActiveProcessLinks.Flink; prev->Flink = next; next->Blink = prev; ``` 该方法会破坏进程遍历工具对链表的完整性验证[^2],但现代杀毒软件会通过以下方式检测: - 检查`EPROCESS`结构校验和 - 对比不同进程遍历方式的结果差异 #### 二、系统调用过滤技术 Hook `NtQuerySystemInformation`系统调用,过滤返回结果中的特定进程信息。实现要点: ```c NTSTATUS HookedNtQuerySystemInformation( SYSTEM_INFORMATION_CLASS SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength) { NTSTATUS status = OriginalNtQuerySystemInformation(...); if (SystemInformationClass == SystemProcessInformation) { // 遍历链表删除目标进程条目 } return status; } ``` 此方法需要处理内存分页保护机制(如CR0寄存器WP位操作),但在x64系统会触发内核补丁保护(PatchGuard)。 #### 三、现代实现挑战 1. **驱动签名验证**:x64系统要求驱动具有有效微软签名 2. **虚拟化安全**:HyperGuard等基于虚拟化的安全技术会监控关键内核结构 3. **行为检测**:EDR系统会分析驱动模块的异常行为模式
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值