本论坛为只读模式,仅供查阅,不能注册新用户,不能发帖/回帖,有问题可发邮件 xikug.xp (^) gmail.com
查看: 11857|回复: 24

GalaxyAP过游戏反调试框架 [复制链接]

Rank: 1

发表于 2011-11-7 16:20:48 |显示全部楼层

这里也学了不少东西,也发一份让各路大牛指点


BypassAntiDebug.rar (1.42 MB, 下载次数: 5357)
       
      
这个工程我以前用来在XP上跑过DNF,DN,只为好玩目的,还没写过外挂。
声明:用这套代码干了什么坏事与我无关


工程说明:
1.GalaxyAP  应用程序
2。HookPortBypass  重加载内核(包括nt和win32k)
3。TEST_KIDISPAT  自分发异常(朋友帮忙实现了部分,代码主要来源WRK)

ps:hookport代码抄网上的,来源http://www.m5home.com/bbs/forum.php

这套GalaxyAP工程主要实现了:
1。重加载内核(借助 hookport思路配合peloader)
2.自实现异常分发的几个主要函数
3。自创建debugobject,使用另一个object
3。也使用了另一个fastmute
4。自己发现吧。。。


PS:驱动的加载有时候在游戏前好使有时候在启动游戏后好使
PPS:这货也只能在XP上跑了

实现了HOOK框架,只需要按下面填写即可
//////////////////////////////////////////////
//这是为了HOOK原来的ntos,转到新的os中
VOID (WINAPI *DUMMYFUCK )(IN  PVOID   Object);
// VOID (WINAPI *PspUserThreadStartup )(IN  PVOID   Object);
// VOID (WINAPI *PspSystemThreadStartup )(IN  PVOID   Object);


HX_DYNC_FUNCTION dync_Old2New[]={
      DECL_DYNCFUN_HOOK_Old2New(PspUserThreadStartup),
        DECL_DYNCFUN_HOOK_Old2New(PspSystemThreadStartup),
        DECL_DYNCFUN_HOOK_Old2New(ObCloseHandle),
        DECL_DYNCFUN_HOOK_Old2New(PspProcessDelete),
        DECL_DYNCFUN_HOOK_Old2New(pIofCallDriver),
        DECL_DYNCFUN_HOOK_Old2New(KiTrap03),
        DECL_DYNCFUN_HOOK_Old2New(ObpCreateHandle),  //为了跳过ObCheckObjectAccess
/*
        kd> dps nt!pIofCallDriver l8
        8054c400  804eedc8 nt!IopfCallDriver    //就搞这个。归类到fengyue驱动去  
        8054c404  804f12c0 nt!IopfCompleteRequest
        8054c408  804f0a00 nt!IopAllocateIrpPrivate
        8054c40c  804ef0e6 nt!IopFreeIrp
        8054c410  00000000
8054c414  00000000
*/
  //  DECL_DYNCFUN_HOOK_Old2New(KeStackAttachProcess),
  //  DECL_DYNCFUN_HOOK_Old2New(KeAttachProcess),
   
    };


//这个需要另外HOOK的函数 ,old os 中的,把这些不经过hookport的转到自己的实现中
HX_DYNC_FUNCTION dync_funs_hook[]={
        DECL_DYNCFUN_HOOK(DbgkCreateThread),
        DECL_DYNCFUN_HOOK(DbgkExitThread),
        DECL_DYNCFUN_HOOK(DbgkExitProcess),
        DECL_DYNCFUN_HOOK(DbgkMapViewOfSection),
        DECL_DYNCFUN_HOOK(DbgkpMarkProcessPeb),

  //  DECL_DYNCFUN_HOOK(NtCreateDebugObject),
    DECL_DYNCFUN_HOOK(DbgkForwardException),

//    DECL_DYNCFUN_HOOK(KiDispatchException),   
    //使用强大的特征码直接patch KiDispatchException中比较debugport部分
    //s -b 804d8000 806ce100 64 A1 24 01 00 00 8B 40  44 39 B8 BC 00 00 00
    };
//这是实现自己分发函数需要用到的
HX_DYNC_FUNCTION dync_funs[]={
    DECL_DYNCFUN(KeUserExceptionDispatcher),
    DECL_DYNCFUN(KeI386XMMIPresent),
    DECL_DYNCFUN(PsImageNotifyEnabled),
    DECL_DYNCFUN(PsNtDllPathName),
    DECL_DYNCFUN(KeFeatureBits),
    DECL_DYNCFUN(PsSystemDllBase),
    DECL_DYNCFUN(PsGetNextProcess),
    DECL_DYNCFUN(PsGetNextProcessThread),

Rank: 1

发表于 2011-11-7 16:54:09 |显示全部楼层
本帖最后由 枫缘 于 2011-11-7 16:54 编辑

围观大神,打我PG我不乖

顺便膜拜楼下可能出现的atkdef大神

Rank: 1

发表于 2011-11-7 19:51:12 |显示全部楼层
很不错啊

Rank: 1

发表于 2011-11-10 15:32:18 |显示全部楼层
支持源代码。

Rank: 1

发表于 2011-11-13 22:03:52 |显示全部楼层
你还是发布了呵。

Rank: 1

发表于 2011-11-14 11:50:55 |显示全部楼层
ylb001 发表于 2011-11-13 22:03
你还是发布了呵。

不是跟你说了吗?
囧。。

Rank: 1

发表于 2011-11-21 23:35:07 |显示全部楼层
谢谢,转了。。

Rank: 1

发表于 2011-11-22 00:33:17 |显示全部楼层
多谢分享,学习下!!

Rank: 1

发表于 2011-11-22 15:30:00 |显示全部楼层
围观了~~~大神

Rank: 1

发表于 2011-11-23 14:09:37 |显示全部楼层
完全看不懂,也只有膜拜了

Rank: 1

发表于 2011-11-26 00:40:07 |显示全部楼层
看来的研究一下操作系统 原理才能看得懂哦!

Rank: 1

发表于 2011-12-24 03:41:13 |显示全部楼层
。   好厉害。   学习+下载

Rank: 1

发表于 2011-12-24 20:23:59 |显示全部楼层
谢谢分享,膜拜。

Rank: 1

发表于 2012-1-6 09:01:27 |显示全部楼层
膜拜加学习~很强大

Rank: 1

发表于 2012-10-18 11:19:47 |显示全部楼层
不错 最近正在研究调试原理

Rank: 1

发表于 2012-10-21 08:27:32 |显示全部楼层
好东西不回是罪啊

Rank: 1

发表于 2012-11-4 21:24:20 |显示全部楼层
膜拜加学习~很强大

Rank: 1

发表于 2012-11-26 09:47:34 |显示全部楼层
新人不能发回复?

Rank: 1

发表于 2012-12-26 16:35:16 |显示全部楼层
好强大!

Rank: 1

发表于 2013-1-6 18:42:39 |显示全部楼层
不明觉利
您需要登录后才可以回帖 登录 | 立即加入

Archiver|手机版|第8个男人 - 论坛为只读模式,仅供查阅

GMT+8, 2019-7-21 23:48 , Processed in 0.040308 second(s), 11 queries .

Design by pvo.cn

© 2011 Pvo Inc.

回顶部