设为首页收藏本站每日签到
切换到宽版

宝峰科技

 找回密码
 注册

QQ登录

只需一步,快速开始

宝峰科技»网站 游戏开发 游戏·辅助综合区 游戏·安全技术 韩国三款网络游戏反黑保护体系
智能终端设备维修查询系统注册会员邮箱认证须知!
返回列表 发新帖
查看: 3275|回复: 2

[转载] 韩国三款网络游戏反黑保护体系

[复制链接]
  • TA的每日心情
    开心
    2024-12-9 18:45

    • 签到天数: 124 天

    [LV.7]常住居民III
    admin 发表于 2009-11-28 00:08:51 | 显示全部楼层 |阅读模式

    欢迎您注册加入!这里有您将更精采!

    您需要 登录 才可以下载或查看,没有账号?注册

    x
    韩国三款网络游戏反黑保护体系:nProtect GameGuard(NP),HackShield(HS),X-trap
    三款的驱动程序分别是:dump_wmimmc.sys(NP的驱动), EagleNT.sys(HS的驱动),XDva219.sys(X-trap的驱动);
    它们在ring0层的处理:
    一.x-trap 2571版(不同版本会有小区别):
    9个SSDT HOOK:
    0x42  NtDeviceIoControlFile  10    0x8057a24a 0xb6488bec C:\WINDOWS\system32\XDva219.sys Yes  
    0x7a  NtOpenProcess          4    0x805cc408 0xb648fd78 C:\WINDOWS\system32\XDva219.sys Yes  
    0x7d  NtOpenSection          3    0x805ab3d2 0xb6488486 C:\WINDOWS\system32\XDva219.sys Yes  
    0x89  NtProtectVirtualMemory 5    0x805b93e6 0xb648fc40 C:\WINDOWS\system32\XDva219.sys Yes  
    0xba  NtReadVirtualMemory    5    0x805b528a 0xb648fa5a C:\WINDOWS\system32\XDva219.sys Yes  
    0xfe  NtSuspendThread        2    0x805d58bc 0xb648f858 C:\WINDOWS\system32\XDva219.sys Yes  
    0x101 NtTerminateProcess    2    0x805d39aa 0xb648fab4 C:\WINDOWS\system32\XDva219.sys Yes  
    0x112 NtWriteFile            9    0x8057def2 0xb648f9e0 C:\WINDOWS\system32\XDva219.sys Yes  
    0x115 NtWriteVirtualMemory  5    0x805b5394 0xb648a248 C:\WINDOWS\system32\XDva219.sys Yes  

    5个SSDT Shadow HOOK:
    0xbf  NtGdiGetPixel          3    0xbf8633a7 0xb648f7cc C:\WINDOWS\system32\XDva219.sys Yes  
    0x1db NtUserPostMessage      4    0xbf808934 0xb648f4da C:\WINDOWS\system32\XDva219.sys Yes  
    0x1f6 NtUserSendInput        3    0xbf8c3127 0xb648f638 C:\WINDOWS\system32\XDva219.sys Yes  
    0x225 NtUserSetWindowsHookEx 6    0xbf852727 0xb648a0f8 C:\WINDOWS\system32\XDva219.sys Yes  
    0x239 NtUserTranslateMessage 2    0xbf848947 0xb648f304 C:\WINDOWS\system32\XDva219.sys Yes  

    1个IDT HOOK(有的版本HOOK了int1 和int3)
    0x1  0008:b648e672 C:\WINDOWS\system32\XDva219.sys    P  0    i486 中断门

    二.HackShield(仙剑OL用的版本)
    1个SSDT Shadow HOOK
    0x1f6 NtUserSendInput      3    0xbf8c3127 0xb230de60 C:\WINDOWS\system32\drivers\EagleNT.sys Yes  

    6个inline HOOK
    0x804f9a21 nt!KeUnstackDetachProcess + 0x33d 5    call 804f9580  call b230b650  C:\WINDOWS\system32\drivers\EagleNT.sys
    0x8057a26f nt!NtDeviceIoControlFile + 0x25 5    call 80581232  call b230b8e0  C:\WINDOWS\system32\drivers\EagleNT.sys
    0x805b5291 nt!NtReadVirtualMemory + 0x7    5    call 8053cb90  call b230be10  C:\WINDOWS\system32\drivers\EagleNT.sys
    0x805b539b nt!NtWriteVirtualMemory + 0x7  5    call 8053cb90  call b230bf60  C:\WINDOWS\system32\drivers\EagleNT.sys
    0x805bd510 nt!NtClose + 0x18      5    call 805bd356  call b230ba00  C:\WINDOWS\system32\drivers\EagleNT.sys
    0x805cc412 nt!NtOpenProcess + 0xa 5    call 8053cb90  call b230bbb0  C:\WINDOWS\system32\drivers\EagleNT.sys
    有的版本还有IDT HOOK

    三.nProtect GameGuard 最新1254版
    1个SSDT Shadow HOOK:
    0x1db NtUserPostMessage    4    0xbf808934 0xb532fba0 I:\Program Files\盛大网络\永恒之塔\AION\bin32\GameGuard\dump_wmimmc.sys Yes  

    12个inline hook:
    0x804f9580 nt!KeReleaseInterruptSpinLock + 0x3e 5    mov edi, edi ... jmp b5331ad0  I:\Program Files\盛大网络\永恒之塔\AION\bin32\GameGuard\dump_wmimmc.sys
    0x804f9a08 nt!KeUnstackDetachProcess + 0x324    5    mov edi, edi ... jmp b53319c0  I:\Program Files\盛大网络\永恒之塔\AION\bin32\GameGuard\dump_wmimmc.sys
    0x804f9b32 nt!KeAttachProcess                  5    mov edi, edi ... jmp b53317a0  I:\Program Files\盛大网络\永恒之塔\AION\bin32\GameGuard\dump_wmimmc.sys
    0x804f9c32 nt!KeStackAttachProcess              5    mov edi, edi ... jmp b5331640  I:\Program Files\盛大网络\永恒之塔\AION\bin32\GameGuard\dump_wmimmc.sys
    0x8057a24a nt!NtDeviceIoControlFile  5    mov edi, edi ... jmp b532f180  I:\Program Files\盛大网络\永恒之塔\AION\bin32\GameGuard\dump_wmimmc.sys
    0x8057def2 nt!NtWriteFile            5    push 64 ...      jmp b532f540  I:\Program Files\盛大网络\永恒之塔\AION\bin32\GameGuard\dump_wmimmc.sys
    0x805ab3d2 nt!NtOpenSection          5    push 18 ...      jmp b532f241  I:\Program Files\盛大网络\永恒之塔\AION\bin32\GameGuard\dump_wmimmc.sys
    0x805b528a nt!NtReadVirtualMemory    5    push 1c ...      jmp b532e9e3  I:\Program Files\盛大网络\永恒之塔\AION\bin32\GameGuard\dump_wmimmc.sys
    0x805b5394 nt!NtWriteVirtualMemory  5    push 1c ...      jmp b532ebb4  I:\Program Files\盛大网络\永恒之塔\AION\bin32\GameGuard\dump_wmimmc.sys
    0x805b93e6 nt!NtProtectVirtualMemory 5    push 44 ...      jmp b532ed76  I:\Program Files\盛大网络\永恒之塔\AION\bin32\GameGuard\dump_wmimmc.sys
    0x805cc408 nt!NtOpenProcess      5    push 000000c4  jmp b532e7e2  I:\Program Files\盛大网络\永恒之塔\AION\bin32\GameGuard\dump_wmimmc.sys
    0xbf8c3127 win32k!NtUserSendInput 5    push 18 ...    jmp b532f5b4  I:\Program Files\盛大网络\永恒之塔\AION\bin32\GameGuard\dump_wmimmc.sys

    nProtect GameGuard利用DKOM技术隐藏进程,想要恢复断链也是完全可以的
    回复

    使用道具 举报

    该用户从未签到
    bibigou 发表于 2009-12-13 22:36:33 | 显示全部楼层
    我的目标破掉hs
    ···
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2013-6-9 11:35

    • 签到天数: 8 天

    [LV.3]偶尔看看II
    346022142 发表于 2011-4-18 17:34:51 | 显示全部楼层
    劲舞团貌似就是 HS   
    回复 支持 反对

    使用道具 举报

    返回列表 发新帖
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    免责声明

    本站中所有被研究的素材与信息全部来源于互联网,版权争议与本站无关。本站所发布的任何软件编程开发或软件的逆向分析文章、逆向分析视频、补丁、注册机和注册信息,仅限用于学习和研究软件安全的目的。全体用户必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。学习编程开发技术或逆向分析技术是为了更好的完善软件可能存在的不安全因素,提升软件安全意识。所以您如果喜欢某程序,请购买注册正版软件,获得正版优质服务!不得将上述内容私自传播、销售或者用于商业用途!否则,一切后果请用户自负!

    QQ|Archiver|手机版|小黑屋|联系我们|宝峰科技 ( 滇公网安备 53050202000040号 | 滇ICP备09007156号-2 )

    Copyright © 2001-2023 Discuz! Team. GMT+8, 2024-12-22 22:44 , File On Powered by Discuz! X3.49

    快速回复 返回顶部 返回列表