资讯

精准传达 • 有效沟通

从品牌网站建设到网络营销策划,从策略到执行的一站式服务

差异分析定位Ring3保护模块

差异分析定位Ring 3保护模块

创新互联公司长期为千余家客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为桃江企业提供专业的做网站、成都网站设计桃江网站改版等技术服务。拥有十载丰富建站经验和众多成功案例,为您定制开发。

由于保护模块通常会Hook操作系统的原生DLL接口来进行保护,所以可以采用差异比较原生DLL文件和加载到内存中的原生DLL直接的差别来定位Ring 3模块。

在分析的过程中,为了防止被Ring 3保护模块发现,暂时可以先把除了自己线程外的其他线程暂停,如图8-14所示。

 

差异分析定位Ring 3保护模块

8-14  悬挂除自己线程外的其他线程

从图8-14中可以看出,除自己线程外,该游戏有58个线程,可以通过SuspendThread()函数悬挂这些线程以便后续的分析(GS的命令就是ste序号)。

下面,我们再对3个常用原生DLL——ntdll.dllkernel32.dlluser32.dll进行文件和内存的比较,如图8-15所示。

差异分析定位Ring 3保护模块

 

图8-15  差异分析原生DLL的变化

从图8-15中可以看出,ntdll.dll3处地址发生了变化,分别是0x7c9212300x7c92DEB60x7c97077B。下面让我们看看这3处地址目前的指令是什么,如图8-16所示。

差异分析定位Ring 3保护模块

 

图8-16  两处地址jmp指令

在图8-16中,有一处jmp指令是跳入地址0x45320F0。让我们看看它属于哪个模块,如图8-17所示。

差异分析定位Ring 3保护模块

 

图8-17  模块节信息

从图8-17的地址区间来看,是包含0x45320F0的,所以,在ntdll.dll中地址0x7c92deb6会跳入X.dll模块。到目前为止,我们基本可以判断ring 3下的游戏保护模块是X.dll

为了能更准确地判断X.dll是否是真的保护模块,下面让我们看看ntdll.dll3处发生变化的地址在原生ntdll.dll中的作用。

可以用IDAntdll.dll进行分析,然后定位地址0x7c9212300x7c92DEB60x7c97077B

如图8-18所示,原来此处地址是DbgBreakPoint函数。这个函数是供调试器下软件断点用的,而在游戏中却被改成了ret指令,这样做能起到防止下软件断点的作用。

差异分析定位Ring 3保护模块

 

图8-18  0x7c921230地址所处函数

如图8-19所示,0x7c97077B地址是属于DbgUiRemoteBreakin函数的,这个函数的详细介绍可以参见张银奎老师的《软件调试》一书的第10.6.4节。这里还是简单说明一下这个函数的作用,以便读者能了解。

差异分析定位Ring 3保护模块

 

图8-19  0x7c97077B地址所处函数

DbgUiRemoteBreakin是ntdll提供的用于在目标进程中创建远线程下软件断点的函数,其伪代码如下。

DWORD WINAPI DbgUiRemoteBreakin( LPVOID lpParameter)

{

  __try

{

      if(NtCurrentPeb->BeingDebugged)

        DbgBreakPoint();

}

__except(EXCEPTION_EXECUTE_HANDLER)

{

      Return 1;

}

RtlExitUserThread(0);

}

当调试器通过CreateRemoteThread函数在目标程序中创建DbgUiRemoteBreakin线程的时候,从代码上来看是下了int 3软件断点。由于在被调试状态,所以调试器可以捕获这个异常。如果目标程序没有被调试的话,DbgUiRemoteBreakin中的S.H.E显然可以捕获并处理它。

所以,游戏保护系统在对DbgUiRemoteBreakin进行jmp操作,很明显是为了防止被调试。下面再看看保护系统从DbgUiRemoteBreakin跳到了哪里。

如图8-20所示是保护系统从DbgUiRemoteBreakin跳入执行的函数,很明显,LdrShutdownProcess是一个关闭进程的函数。

差异分析定位Ring 3保护模块

 

图8-20  0x7C943DEF地址所处函数

下面再让我们看看地址0x7c92DEB6处的含义。

如图8-21所示,保护模块对ZwProtectVirtualMemory函数进行了Hook,以防止虚拟内存所在页面的保护属性被改变。


差异分析定位Ring 3保护模块

图8-21  0x7c92DEB6地址所处函数

关于更多分析游戏保护方案的思路见<<游戏外挂***艺术>>8章。

 

差异分析定位Ring 3保护模块

作者简介

徐胜,2009年于电子科技大学获得计算机科学与工程硕士学位,现就职于阿里巴巴,从事移动安全的研究和移动产品的研发,主要研究方向包括:Windows平台下的***、外挂、Rootkit、防火墙和二进制逆向分析,Android和iOS客户端软件安全,以及Web和WAP安全。

本文节选自《游戏外挂***艺术》一书。徐胜著,由电子工业出版社出版。

 

 

 


分享标题:差异分析定位Ring3保护模块
新闻来源:http://cdkjz.cn/article/ppjcpo.html
多年建站经验

多一份参考,总有益处

联系快上网,免费获得专属《策划方案》及报价

咨询相关问题或预约面谈,可以通过以下方式与我们联系

大客户专线   成都:13518219792   座机:028-86922220