针对某游戏保护DebugPort清零的一次逆向

作 者: 悲歌
首先还是先了解一下DebugPort吧，百度之后得到了如下结果
 -------------------------------此处转贴------------------------------------
每个进程都有一个数据结构，EPROCESS，这个结构是在内核里面的，系统用来标识和管理每一个win进程的基本数据结构.
 
这个结构中包含了一个重要的字段,DebugPort,如果一个进程不在被调试的时候那么就是NULL,否则他是一个指针，win前,这个成员保存的是用于接收调试事件的LPC端口对象指针.发生调试时,系统会向这个端口发送调试信息.
 
Winxp下因为使用了专门用于调试的内核对象DebugObject,所以debugport指向的是一个DebugObject对象,不管是指向LPC端口还是指向调试对象,虽然类似不同吧~~~
但是他们的作用都是用来传递调试事件的,所以debugport中指向的对象，我们就叫做调试端口
 
张奎银大牛，告诉了我们，这个端口是链接调试器进程和被调试进程的纽带~
被调试程序的事件由这个端口发送到调试器进程的。  
（so,某些产品,为了不被调试就一直对这个字段写入0,导致调试事件无法发送,造成了调试器像傻子一样~~）
-----------------------------------------------------------
 
调试内核，最先想到的肯定是windbg,于是LZ碰到了第一个问题，那个T什么的保护禁止了双机调试。下面给出过掉防止双机调试的方法。
 
KDCOM.dll:KdReceivePacket  //这两个是COM串口的接受和发送数据
KDCOM.dll:KdSendPacket      //主要用来方式别人双机调试
上面两个函数几乎可以忽略掉，VirtualKD这个工具自己实现了COM通信替代了上面两个函数。
 
然后是。。。是。。。
KdDisableDebugger，ok过掉对这个函数的调用应该就可以进行双机调试了。
启动虚拟机调试模式，windbg对KdDisableDebugger下断点，然后运行游戏。
发现游戏登陆之前windbg就已经断下来了，eb指令对KdDisableDebugger第一行代码写入C3(ret)
 

然后F8单步执行找到调用KdDisableDebugger处
 
仔细看代码不难发现这是一段循环调用KdDisableDebugger的代码。eb对上图中edcaa6d5出写入74过掉此处
F5跑起来会再次断下来，单步执行返回到另一处调用
 
 
尾部mov     dword ptr [ecx],eax这句很关键，不能让他执行，一旦执行windbg就失去通信了
对上图中edcaa803位置写入75然后F5跑起来  再次断下来发现调用位置还是上面这里。
修改CALL EAX上面那行也就是edcaa7c4位置写入75再次跑起来就不会再断下来了 游戏正常运行。
但是游戏登陆以后，保护会出现错误重新加载一次保护，然后按照上面的方法重新过一次就可以了。
 
接下来就等游戏跑起来以后windbg手动断下来，命令行键入!process 0 0回车
得到当前所有进程的EPROCESS对象地址
 
注意这里完成后要让虚拟机尽快跑起来，中断久了游戏会和服务器断开连接。
好了会找到两个游戏进程，接下来虚拟机里面打开任务管理器，查看当前游戏的进程ID转换16进制
 
 
转换后就是上面获取到的CID:0370 www.2cto.com
然后对PROCESS 85f5d228 这个地址+BC处下数据写入断点，+bc就是DebugPort地址了
指令ba w 4[85f5d228 +bc]   //ba指令格式ba Access Size [地址] Access为访问方式Size为监控访问位置大小
 
然后跑起来，立马就会断下来，这里注意多跑几次，有两个地方做了清零如下图
第一处：
 
 
 
第二处：
 
 
 
xor     ecx,ecx
xchg    ecx,dword ptr [eax]
 
还有。。。
 
xor     eax,eax
xchg    eax,dword ptr [edi]
这两个地方。
好了位置找到了，收工。