过TesSafe反WinDbg双机调试

最新推荐文章于 2023-11-24 15:53:06 发布
最新推荐文章于 2023-11-24 15:53:06 发布
阅读量1.8k 收藏 1
点赞数
貌似论坛里面有关游戏的贴子都很火,所以发篇帖子涨点人气。

正文:
在论坛搜索了下发现去年的时候有人发过一篇过TesSafe反双机调试的帖子,但是现在已经过时了,并且帖子里面也没提到怎么处理被IAT HOOK的两个函数。在这里呢,我就给大家彻底的讲明白吧。

先开ARK工具看看游戏干了什么。

点击图片以查看大图图片名称: 1.jpg查看次数: 6文件大小: 36.1 KB文件 ID : 78490

从图片可以看到游戏启动的时候对ntkrnlmp.exe中的kdcom.KdSendPacket和kdcom.KdReceivePacket两个函数进行了HOOK,通过函数名称就能猜测到函数的用途,一个发包,一个收包,都是com口用来通信的。

怎样恢复这两个函数呢,方面有很多种,列举两个。

1、自己映射内核文件ntkrnlmp.exe,然后通过PE结构遍历ntkrnlmp.exe的导入表,获取导入表中KdSendPacket、 KdReceivePacket两个函数的地址在ntkrnlmp.exe中的偏移,然后利用这个偏移修改系统正常运行的ntkrnlmp.exe导入表 中的两个函数地址。

但是这里还有一个问题就是,导入表中KdReceivePacket这个位置有代码校验,只要被修改就会重启,所以还得绕过代码校验。所以不推荐这种方法。

2、通过图片可以看到被IATHOOK的两个函数被挂钩后的新地址分别为0xB07920E6,0xB07920F6,相差16个字节。既然不想直接去恢 复导入表,那么我们可以在这两个被挂钩后的地址中再跳回正常的KdSendPacket、KdReceivePacket。或许有人又有疑问,这两个挂钩 地址处没有代码校验吗,答案是也有校验,只要修改前面几个字节,同样会重启。但是游戏只检测了前面的几个字节,所以只要在靠后一点的地方修改就不会被检测 到。

名称: 2.jpg查看次数: 0文件大小: 35.6 KB

修改后
名称: 3.jpg查看次数: 1文件大小: 38.3 KB

另外一个也是同样处理函数
名称: 4.jpg查看次数: 0文件大小: 36.9 KB

这样两个被IATHOOK的函数就相当于被恢复了。

但是上面我们是用工具进行恢复的,而TP启动的时候就已经调用了KdDisableDebugger禁止了WinDbg双机调试,这时候就算恢复了上面的两个函数,同样也无法双机调试。


之所以先讲怎样处理上面的两个函数是因为在TP驱动加载的时候首先进行了IATHOOK,然后调用KdDisableDebugger,如果你先处理KdDisableDebugger,而没有恢复上面两个函数的话,系统会直接重启。



因为要赶在TP调用KdDisableDebugger之前恢复IATHOOK,那么就需要设置一个系统回调函数,然后在加载TP驱动的时候进入我们的回 调函数,这时TP已经加载完成,但是还没有开始运行,所以我们可以直接定位到 挂钩地址 处 写入跳转代码到正常的函数。

代码: 
//恢复两个被iat hook的函数

VOID RenewIATHook(ULONG ImageBase)      
{
  // 模块:KDCOM.dll,函数名称:KdSendPacket,函数地址:ba5a91b2,Hint:0007
  //模块:KDCOM.dll,函数名称:KdReceivePacket,函数地址:ba5a8f4c,Hint:0004

  ULONG uKdSend = 0xba5a91b2;     //KdSendPacket的地址硬编码
  ULONG uKdReceive = 0xba5a8f4c;  //KeReceivePacket地址 

  //因为这两个函数不是导出的,所以我为了省事,就直接这样写了

  ULONG uJmpKdSend = ImageBase + 0x20EE;
  //KdSendPacket挂钩函数地址 = ImageBase + 0x20EE; 硬编码 :o:

  ULONG uJmpKdReceive = ImageBase + 0x20FE;

  ULONG jmpAddr1 = uKdSend - uJmpKdSend - 5;
  ULONG jmpAddr2 = uKdReceive - uJmpKdReceive - 5;

  __asm
  {  
    cli
      pushad
      mov    eax,uJmpKdSend
      mov    byte ptr [eax],0xE9
      mov    ebx,jmpAddr1
      mov    dword ptr [eax+1],ebx

      mov    eax,uJmpKdReceive
      mov    byte ptr [eax],0xE9
      mov    ebx,jmpAddr2
      mov    dword ptr [eax+1],ebx

      popad
      sti
  }
}


ULONG strEnd(PWCHAR dest,PWCHAR sub)
{
  if (dest == NULL && sub == NULL)
    return 0;
  int ulDest = wcslen(dest);
  int ulSub = wcslen(sub);

  if (ulSub == 0 || ulSub > ulDest)
    return 0;
  return !wcscmp(&dest[ulDest - ulSub],sub);
}

VOID NotifyRoutine(IN PUNICODE_STRING  FullImageName,
  IN HANDLE  ProcessId, // where image is mapped
  IN PIMAGE_INFO  ImageInfo)
{
              //这个strEnd是一个判断字符串是不是以***结束
         //我记得wdk中有一个函数可以判断的,但是记不起来了,知道的回复下啊:eek:
  if (strEnd(FullImageName->Buffer,L"TesSafe.sys"))
  {
                                 //判断加载的驱动是不是TP
    KdPrint(("TesSafe.sys:ImageBase:x \t size: x\n",
ImageInfo->ImageBase,ImageInfo->ImageSize));
    RenewIATHook((ULONG)ImageInfo->ImageBase);  
  }
}


#pragma alloc_text("INIT")
NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegPath){
  NTSTATUS status;
  UNREFERENCED_PARAMETER(RegPath);

  DriverObject->DriverUnload = DriverUnload;
  for (int i=0;i<IRP_MJ_MAXIMUM_FUNCTION;i++)
    DriverObject->MajorFunction[i] = DriverDispatch;


  KdPrint(("Init\n"));
  PsSetLoadImageNotifyRoutine(NotifyRoutine);

  return STATUS_SUCCESS;
}

通过上面的代码就可以对IATHOOK的两个函数进行恢复

编译上面的代码,然后重启虚拟机,加载编译好的驱动运行。

下面就来处理TP调用KdDisableDebugger函数来禁止调试

WinDbg中输入bp KdDisableDebugger

启动DNF登陆器,然后WinDbg断下,

点击图片以查看大图图片名称: 5.jpg查看次数: 3文件大小: 132.2 KB文件 ID : 78489

直接修改首行代码 ret 返回即可。

eb 804f8886 0xC3

单步走一下,返回上层函数。

代码: 
b094dfd9 57              push    edi
b094dfda 8b782c          mov     edi,dword ptr [eax+2Ch]
b094dfdd 33f1            xor     esi,ecx
b094dfdf 33f9            xor     edi,ecx
b094dfe1 eb4b            jmp     TesSafe+0x702e (b094e02e)
b094dfe3 803d6da295b000  cmp     byte ptr [TesSafe+0x1326d (b095a26d)],0
b094dfea 7516            jne     TesSafe+0x7002 (b094e002)
b094dfec 688a4d6e43      push    436E4D8Ah
b094dff1 6876426e57      push    576E4276h
b094dff6 e873caffff      call    TesSafe+0x3a6e (b094aa6e)
b094dffb c6056da295b001  mov     byte ptr [TesSafe+0x1326d (b095a26d)],1
b094e002 85ff            test    edi,edi
b094e004 7404            je      TesSafe+0x700a (b094e00a)
b094e006 ffd7            call    edi           //call KdDisableDebugger
b094e008 eb24            jmp     TesSafe+0x702e (b094e02e)
b094e00a 803d6ea295b000  cmp     byte ptr [TesSafe+0x1326e (b095a26e)],0
b094e011 751b            jne     TesSafe+0x702e (b094e02e)
b094e013 6812010000      push    112h
b094e018 68e64d6e43      push    436E4DE6h
b094e01d 6873426e57      push    576E4273h
b094e022 e865caffff      call    TesSafe+0x3a8c (b094aa8c)
b094e027 c6056ea295b001  mov     byte ptr [TesSafe+0x1326e (b095a26e)],1
b094e02e 803e00          cmp     byte ptr [esi],0
b094e031 75b0            jne     TesSafe+0x6fe3 (b094dfe3) 

//跳回去,继续call KdDisableDebugger  ,应该是个while循环,所以把这里nop掉
//ew b094e031 0x9090

b094e033 5f              pop     edi
b094e034 5e              pop     esi
b094e035 c3              ret
输入g,继续运行,WinDbg再次断下。

查看调用堆栈:TesSafe+0x7124

代码: 
b094e112 a16ceb95b0      mov     eax,dword ptr [TesSafe+0x17b6c (b095eb6c)]
b094e117 8b402c          mov     eax,dword ptr [eax+2Ch]
b094e11a 330568eb95b0    xor     eax,dword ptr [TesSafe+0x17b68 (b095eb68)]
b094e120 7404            je      TesSafe+0x7126 (b094e126)
b094e122 ffd0            call    eax         //call KdDisableDebugger 
b094e124 eb24            jmp     TesSafe+0x714a (b094e14a)
b094e126 803d72a295b000  cmp     byte ptr [TesSafe+0x13272 (b095a272)],0
b094e12d 751b            jne     TesSafe+0x714a (b094e14a)
b094e12f 6882010000      push    182h
b094e134 68e64d6e43      push    436E4DE6h
b094e139 6873426e57      push    576E4273h
b094e13e e849c9ffff      call    TesSafe+0x3a8c (b094aa8c)
b094e143 c60572a295b001  mov     byte ptr [TesSafe+0x13272 (b095a272)],1
b094e14a 8b0d64a295b0    mov     ecx,dword ptr [TesSafe+0x13264 (b095a264)]
//跳到这里,dd b095a264的值是8055d664 
//kd> u 8055d664 
//nt!KiDebugRoutine:             

b094e150 85c9            test    ecx,ecx
b094e152 740f            je      TesSafe+0x7163 (b094e163)
b094e154 a168a295b0      mov     eax,dword ptr [TesSafe+0x13268 (b095a268)]
//这里eax = nt!KdpStub:

b094e159 85c0            test    eax,eax
b094e15b 7406            je      TesSafe+0x7163 (b094e163)
b094e15d 3901            cmp     dword ptr [ecx],eax
b094e15f 7402            je      TesSafe+0x7163 (b094e163)
b094e161 8901            mov     dword ptr [ecx],eax
//根据上面的ecx,跟eax的值来看 应该是设置debug函数之类的。
//测试后,发现这条代码执行后,windbg失去通讯。所以直接nop掉


b094e163 c3              ret
b094e164 cc              int     3
b094e165 cc              int     3
输入g,继续运行,这时WinDbg输出
Shutdown occurred at (Wed Apr 24 11:59:41.193 2013 (UTC + 8:00))...unloading all symbol tables.
Waiting to reconnect...

看样子好像是重启了? 在切换到虚拟机发现并没有重启。

这个地方经过测试发现如果没有恢复上面的两个IATHOOK,系统就直接死掉了,如果恢复了,虽然windbg输出了上面的信息,但切换到虚拟机之后发现游戏已经到了 输入账号密码 界面。


到了这一步,仍然没完,将虚拟机断下来,再次下bp KdDisableDebugger断点。

发现系统再次断下,因为我们已经在KdDisableDebugger的第一行代码ret了。所以不用担心WinDbg会断开,输入g,再次运行,再次断下。

发现这里应该有一个定时器在不断的调用KdDisableDebugger。



代码: 
b0965112 a16c5b97b0      mov     eax,dword ptr ds:[B0975B6Ch]
b0965117 8b402c          mov     eax,dword ptr [eax+2Ch]
b096511a 3305685b97b0    xor     eax,dword ptr ds:[0B0975B68h]
b0965120 7404            je      b0965126
b0965122 ffd0            call    eax           //call KdDisableDebugger
b0965124 eb24            jmp     b096514a
b0965126 803d721297b000  cmp     byte ptr ds:[0B0971272h],0
b096512d 751b            jne     b096514a
b096512f 6882010000      push    182h
b0965134 68e64d6e43      push    436E4DE6h
b0965139 6873426e57      push    576E4273h
b096513e e849c9ffff      call    b0961a8c
b0965143 c605721297b001  mov     byte ptr ds:[0B0971272h],1
b096514a 8b0d641297b0    mov     ecx,dword ptr ds:[0B0971264h]
b0965150 85c9            test    ecx,ecx
b0965152 740f            je      b0965163
b0965154 a1681297b0      mov     eax,dword ptr ds:[B0971268h]
b0965159 85c0            test    eax,eax
b096515b 7406            je      b0965163
b096515d 3901            cmp     dword ptr [ecx],eax
b096515f 7402            je      b0965163
b0965161 90              nop
b0965162 90              nop
b0965163 c3              ret


这里怎么处理,直接把call eax nop掉吗,很不幸,哪条代码也有校验,一改就重启了。不过哪个位置不能改,我们可以改别的位置。在这个函数头部b0965112 的位置直接 jmp b0965124 跳过call eax即可。

这样就可以完全的解决了TP的反双机调试。

以前的那篇文章里面提到在登陆游戏过程中还会调用KdDisableDebugger,但我测试之后发现直到进入游戏里面也没有再断下来过。。。

点击图片以查看大图图片名称: 6.jpg查看次数: 1文件大小: 121.2 KB文件 ID : 78494

然后,可以去邪恶了。。。。


源码也贴上吧,都是用硬编码写的,自己修改修改就可以了。

过双机调试.rar .

Win10 1903过TP的双机调试
被遗弃的庸才博客
11-16 4866
了解内核知识已经有一段时间了,想双机调试一下XP,网上也找了不少资料。https://bbs.pediy.com/thread-248912.htm https://blog.youkuaiyun.com/kingswb/article/details/51194105差不多我用到的大部分代码都是从上面cv(Ctrl+c---->Ctrl+v)下来的1、首先解决The context is parti...
操作系统 实验2 windbg双机调试+系统调用过程
Lawliet_233的博客
11-09 2133
1.配置windbg双机调试环境,给出关键步骤及最终成功断下的截图。 1).在安装好的win7虚拟机设置中,添加一个串行端口,并选择输出到命名管道,具体设置如图。 这样设置之后,在后面的步骤中,主机便能通过这个管道与虚拟机相连进行双机调试。 2)在win7虚拟机中以管理员权限打开命令行并做以下设置 3)在本机里创建一个windbg的快捷方式,在目标一栏里加上以下代码 -...
双机调试,某p_win_7_X86_sp1
01-15
win7_x86_sp1版本下过掉了双机调试,可中断,.先启动游戏虚拟机卡主后连接调试
win764过tp双机调试
01-16
过win764位tp双机,可改写下代码也可以过32位的。。。。
TPdisabledebugger.zip_tp双机调试_双机调试_过tp_过tp保护驱动_过保护.sys
07-14
过TP驱动保护之禁止双机调试源码,修改Fuckdisabledebugger函数与TesSafe.sys
双机调试
07-15
### 过双机调试知识点详解 #### 一、双机调试概述 在软件开发领域,双机调试(Dual Machine Debugging)是指在一个调试过程中同时控制并观察两个或多个独立计算机系统上的程序执行情况的技术。这种调试方式常用于...
TesSafe[1].sys ASM原码
03-25
TesSafe[1].sys ASM原码
过驱动保护之TesSafe(读写内存OD能附加下硬件断点) (1).pdf
11-11
。。。
TesSafe.sys过驱动保护技术:读写内存与硬件断点
文档中提到的过驱动保护对抗主要是指绕过 TesSafe 的保护机制,允许进行内存读写和调试操作。 首先,要进行这种操作,你需要能够打开并访问游戏进程和线程,同时避免被作弊系统检测。这通常涉及进程和线程的隐藏...
分享Win10 1903过TP的双机调试问题
10-15
本文给大家分享的是Win10 1903过TP的双机调试问题,通过实例代码截图的形式给大家展示的非常详细,需要的朋友参考下
Windows驱动开发 Win7-x64+VM+WinDbg 双机调试
Jockr
09-07 3118
1.主机安装WinDbg 2.设置主机的WinDbg属性参数 3.安装虚拟机并安装系统 4.设置虚拟机的命名管道 5.虚拟机安装WinDbg 6.对虚拟机的调试进行配置 7.设置主机WinDbg 8.调试驱动 1.主机安装WinDbg 2.设置主机的WinDbg属性参数 给WinDbg添加一个快捷方式,再快捷方式的目标后加入一行指令 -b -k com:pipe,po...
双机调试完整步骤
qq_45806710的博客
08-18 4302
双机调试完整步骤 这样的调试如果不了解的话配置起来会很恶心,本人在配置第一遍的时候踩过很多雷,由于重装了系统,这是第二次装这个双机调试,希望可以帮到你; 1.先要下载windbg和XP系统的虚拟机,我这里提供windbg下载资源和XP镜像系统; windbg下载地址:https://pan.baidu.com/s /1jJULExadpa0neyN7QvL5fw 提取码:2okt XP镜像系统:https://pan.baidu.com/s/1XAIjNnILF6kd22z9In7aRA 提取码:n
关于*P双机调试的学习
08-22 558
一:相关基础知识:   根据软件调试这本书上说的,Windows启动过程如下图:       系统一共调用了两次KdInitSystem()函数。   第一次调用KdInitSystem会初始化一下全局变量:   1.KdPitchDebugger:布尔类型,用来表示是否显式抑制内核调试。当启动选项中包含/DEBUG选项时,这个变量会被设置为真。 2.KdDeBuggerEna...
windbg XP双机调试
最新发布
史D芬周
11-24 569
D:\wdk7600\path\Debuggers\windbg.exe” -b -k com:pipe,port=\\.\pipe\com_1 ,resets=0,reconnect -y (名字要和你取得名字对应上)2:操作步骤:编辑虚拟机设置 -> 添加 -> 串行端口 -> 完成 参数配置:使用命名管道 -> \\.\pipe\com_1 -> 该端是服务器,另一端是应用程序 -> 轮询时主动放弃CPU->确定。Windbg -属性 目标-把路径复制出来,把参数加上。1:虚拟机增加串行端口。
双机调试环境搭建 windbg + virtualkd
weixin_41111116的博客
08-21 3202
双机调试环境搭建
windbg输出SXS.DLL的调试信息
xuemao1230的专栏
03-29 2106
ed nt!Kd_SXS_Mask 0ed nt!Kd_FUSION_Mask 0
VirtualKD + VMWare实现单机内核调试
热门推荐
张佩的技术库
11-16 1万+
VirtualKD + VMWare实现单机内核调试                                                                                                              By 张佩           若干年以前,我的前同事酒若v霖(JIURL)写的《借助VMware实现单机使用Wi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值