[求助]11平台检测通杀修改所有线程EIP到新的GAME DLL区域-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]11平台检测通杀修改所有线程EIP到新的GAME DLL区域

发表于: 2014-5-3 19:16 36977

[求助]11平台检测通杀修改所有线程EIP到新的GAME DLL区域

590339

2014-5-3 19:16

36977

查看主题内容

收藏・30

免费・0

支持

最新回复 (105) ◀ 1 2 3 4 5 ▶
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 26 楼 v大，说的核心好像不是在修改属性页上。这个效率有点低，我试过 2014-5-6 13:01 0
htpidk 雪币： 7860 活跃值： (4734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 289 粉丝 1 关注私信	htpidk 27 楼你11平台的大地图做的怎么样了 2014-5-6 13:09 0
逻辑错误雪币： 3729 活跃值： (704) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 155 粉丝 5 关注私信	逻辑错误 1 28 楼一种思路,确实不错. 我去尝试一下~ 2014-5-6 14:07 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 29 楼 [QUOTE=cvcvxk;1281234]这个东西实现思路的问题。反正我没suspend线程，也没改线程eip,我有另一种方式。贴个图，能看懂的就看懂了，不懂就不懂吧~ [/QUOTE] 我否定的是 suspend线程的做法，既然你是别的方法，我也不知道你的方法如何实现，并没有否定你的方法。 2014-5-6 18:47 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 30 楼 no，效率不低，只要标中一次EIP就直接到新世界了~ 另外，隐藏game.dll不是修改属性实现的，是通过特殊手法~ 2014-5-6 21:24 0
lidagogo 雪币： 68 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 31 楼我想知道堆栈里的返回地址怎么处理不然就CALL回去了还有内存属性页 RING0 还是 RING3 用的 2014-5-6 21:52 0
z许雪币： 1907 活跃值： (2090) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 32 楼游戏开始加载的时候，直接改一次eip到new image就行了。直接寻找海贼王的宝藏。至于隐藏game.dll。这个先捏着。再等回复。 2014-5-6 22:13 0
lidagogo 雪币： 68 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 33 楼这玩意儿是不是通杀CRC啊? 2014-5-6 22:16 0
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 34 楼 [QUOTE=cvcvxk;1281234]这个东西实现思路的问题。反正我没suspend线程，也没改线程eip,我有另一种方式。贴个图，能看懂的就看懂了，不懂就不懂吧~ [/QUOTE] V大的方法跟我一样。哈哈 2014-5-6 23:12 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 35 楼是啊，这就是传说中的+18 屠戮之刃啊~ 2014-5-6 23:27 0
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 36 楼是虾米手法啊？我用来保护下自己的程序 2014-5-7 00:03 0
kuty 雪币： 66 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	kuty 37 楼主要手段先暂停所有的线程必须是在程序真正的入口不远的地方hook，因为是入口所以当下不存在crc因为保护还未初始化，修改eip是可行的，代码会一直执行新镜像，至于改内存属性不可读导致程序异常然后拦截判断eip是不是游戏内存若是则改eip这方法不会卡的因为你改了一次后程序第二次就在你新的镜像里了，偶尔会有些代码会跑会去类似call 【eax+xx】，自己把频繁的和要hook的修正下就没事了 2014-5-7 02:54 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 38 楼 v大，给分代码啊，你发的思路。我看懂了~ 2014-5-7 10:16 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 39 楼 [QUOTE=cvcvxk;1281234]这个东西实现思路的问题。反正我没suspend线程，也没改线程eip,我有另一种方式。贴个图，能看懂的就看懂了，不懂就不懂吧~ [/QUOTE] 求教，ring3下可以完工否？ 2014-5-7 11:01 0
albeta 雪币： 202 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 0 关注私信	albeta 40 楼果然年轻人的头脑好用啊，思路挺不错。 2014-5-7 14:28 0
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 41 楼 V大 V大 V大是虾米手法隐藏GAME的。这个才是好东西。。。。 2014-5-7 14:33 0
lidagogo 雪币： 68 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 42 楼虽然不玩XXX游戏了但是以前没事也HOOK个玩下发现CRC 瞒厉害的好多嵌套着结果索性硬件断点来玩玩悲剧的是只能HOOK 4个地方检测厉害 VM厉害搞不定后来就驱动缺页吧发现极其不稳定(可能因为我太菜) 这下好了有空可以去试下+18 屠戮之刃哈哈顶起 2014-5-7 17:41 0
anywhere杨雪币： 145 活跃值： (752) 能力值： ( LV4，RANK：40 ) 在线值：发帖 57 回帖 428 粉丝 3 关注私信	anywhere杨 43 楼这方法不靠谱呀，， 1、如果直接reload,变量的值变了，如果直接跑，崩溃， 2、如果直接复制内存，很多地方要重定位，不好办，除非，你很多跳，来回跳，这样太麻烦。 2014-5-7 17:59 0
windhawk 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	windhawk 44 楼内嵌栈指纹检测+VM 保护怎么破? 新内存,不在合法栈指纹区域 2014-5-9 00:42 0
誓言剑雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 249 粉丝 0 关注私信	誓言剑 45 楼肯定是复制内存重定位完全可以不处理,函数跳转编译器是会生成相对寻址的,因为绝对寻址指令长度太长只有指向非text节的内存才会用绝对寻址,不过那些都是数据,没必要处理 2014-5-9 07:15 0
anywhere杨雪币： 145 活跃值： (752) 能力值： ( LV4，RANK：40 ) 在线值：发帖 57 回帖 428 粉丝 3 关注私信	anywhere杨 46 楼你怎么能知道代码中不会引用绝地地址？，就想当于你怎么知道，不会需要引用全局变量？ 2014-5-10 11:13 0
htpidk 雪币： 7860 活跃值： (4734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 289 粉丝 1 关注私信	htpidk 47 楼上面说的修改属性是为了触发异常修改EIP啊，不过每次修改都是修改一个页面，效率也太低，不如下硬件断点加SEH修改EIP，不过11现在有检测硬断，用上次看见的那个“专业黑子”还是“小白一个”（忘记是哪个了）发的帖子里的方法又太麻烦了。11的大地图对于我等小菜来说不好搞啊。另外现在隐藏模块我知道有两种方法就是LDR脱链或者抹掉VAD，最多再加上抹掉PE标识防止暴力枚举，我一般用的是脱链隐藏（对二叉树不是很熟悉，囧），V大多透露点隐藏模块方法？ 2014-5-10 11:34 0
誓言剑雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 249 粉丝 0 关注私信	誓言剑 48 楼我他妈实在受不了你们了.我哪一句说了完全不会使用绝对地址?我他妈说的清清楚楚"只有指向非text节的内存才会用绝对寻址".什么东西会在非text节?全局变量啊! 而且我他妈说了多少次了,全局变量不需要处理!复制内存后你还是需要访问以前的全局变量,不然会造成数据不一致产生错误的!至于指令跳转,相对寻址只需要5个字节就能覆盖上下2GB,对于99%的程序都足够用了.绝对寻址在32位要额外2字节的段寄存器而没有额外好处(在通常2GB内存地址情况下),64位更是要12个字节.任何有脑子的编译器都不会为代码跳转生成绝对寻址好不好! 2014-5-11 00:14 0
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 49 楼同求同求 2014-5-11 12:05 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 50 楼总之这种复制 game.dll的方法是不保险的，90%的情况不出错则已，一旦出错误蓝得你找不到原因。再说成功率有90%还是80%或是更低也不一定。 2014-5-11 16:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

590339

发帖

179

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (105) ◀ 1 2 3 4 5 ▶
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 26 楼 v大，说的核心好像不是在修改属性页上。这个效率有点低，我试过 2014-5-6 13:01 0
htpidk 雪币： 7860 活跃值： (4734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 289 粉丝 1 关注私信	htpidk 27 楼你11平台的大地图做的怎么样了 2014-5-6 13:09 0
逻辑错误雪币： 3729 活跃值： (704) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 155 粉丝 5 关注私信	逻辑错误 1 28 楼一种思路,确实不错. 我去尝试一下~ 2014-5-6 14:07 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 29 楼 [QUOTE=cvcvxk;1281234]这个东西实现思路的问题。反正我没suspend线程，也没改线程eip,我有另一种方式。贴个图，能看懂的就看懂了，不懂就不懂吧~ [/QUOTE] 我否定的是 suspend线程的做法，既然你是别的方法，我也不知道你的方法如何实现，并没有否定你的方法。 2014-5-6 18:47 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 30 楼 no，效率不低，只要标中一次EIP就直接到新世界了~ 另外，隐藏game.dll不是修改属性实现的，是通过特殊手法~ 2014-5-6 21:24 0
lidagogo 雪币： 68 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 31 楼我想知道堆栈里的返回地址怎么处理不然就CALL回去了还有内存属性页 RING0 还是 RING3 用的 2014-5-6 21:52 0
z许雪币： 1907 活跃值： (2090) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 32 楼游戏开始加载的时候，直接改一次eip到new image就行了。直接寻找海贼王的宝藏。至于隐藏game.dll。这个先捏着。再等回复。 2014-5-6 22:13 0
lidagogo 雪币： 68 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 33 楼这玩意儿是不是通杀CRC啊? 2014-5-6 22:16 0
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 34 楼 [QUOTE=cvcvxk;1281234]这个东西实现思路的问题。反正我没suspend线程，也没改线程eip,我有另一种方式。贴个图，能看懂的就看懂了，不懂就不懂吧~ [/QUOTE] V大的方法跟我一样。哈哈 2014-5-6 23:12 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 35 楼是啊，这就是传说中的+18 屠戮之刃啊~ 2014-5-6 23:27 0
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 36 楼是虾米手法啊？我用来保护下自己的程序 2014-5-7 00:03 0
kuty 雪币： 66 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	kuty 37 楼主要手段先暂停所有的线程必须是在程序真正的入口不远的地方hook，因为是入口所以当下不存在crc因为保护还未初始化，修改eip是可行的，代码会一直执行新镜像，至于改内存属性不可读导致程序异常然后拦截判断eip是不是游戏内存若是则改eip这方法不会卡的因为你改了一次后程序第二次就在你新的镜像里了，偶尔会有些代码会跑会去类似call 【eax+xx】，自己把频繁的和要hook的修正下就没事了 2014-5-7 02:54 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 38 楼 v大，给分代码啊，你发的思路。我看懂了~ 2014-5-7 10:16 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 39 楼 [QUOTE=cvcvxk;1281234]这个东西实现思路的问题。反正我没suspend线程，也没改线程eip,我有另一种方式。贴个图，能看懂的就看懂了，不懂就不懂吧~ [/QUOTE] 求教，ring3下可以完工否？ 2014-5-7 11:01 0
albeta 雪币： 202 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 0 关注私信	albeta 40 楼果然年轻人的头脑好用啊，思路挺不错。 2014-5-7 14:28 0
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 41 楼 V大 V大 V大是虾米手法隐藏GAME的。这个才是好东西。。。。 2014-5-7 14:33 0
lidagogo 雪币： 68 活跃值： (345) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 241 粉丝 0 关注私信	lidagogo 42 楼虽然不玩XXX游戏了但是以前没事也HOOK个玩下发现CRC 瞒厉害的好多嵌套着结果索性硬件断点来玩玩悲剧的是只能HOOK 4个地方检测厉害 VM厉害搞不定后来就驱动缺页吧发现极其不稳定(可能因为我太菜) 这下好了有空可以去试下+18 屠戮之刃哈哈顶起 2014-5-7 17:41 0
anywhere杨雪币： 145 活跃值： (752) 能力值： ( LV4，RANK：40 ) 在线值：发帖 57 回帖 428 粉丝 3 关注私信	anywhere杨 43 楼这方法不靠谱呀，， 1、如果直接reload,变量的值变了，如果直接跑，崩溃， 2、如果直接复制内存，很多地方要重定位，不好办，除非，你很多跳，来回跳，这样太麻烦。 2014-5-7 17:59 0
windhawk 雪币： 100 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 7 粉丝 0 关注私信	windhawk 44 楼内嵌栈指纹检测+VM 保护怎么破? 新内存,不在合法栈指纹区域 2014-5-9 00:42 0
誓言剑雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 249 粉丝 0 关注私信	誓言剑 45 楼肯定是复制内存重定位完全可以不处理,函数跳转编译器是会生成相对寻址的,因为绝对寻址指令长度太长只有指向非text节的内存才会用绝对寻址,不过那些都是数据,没必要处理 2014-5-9 07:15 0
anywhere杨雪币： 145 活跃值： (752) 能力值： ( LV4，RANK：40 ) 在线值：发帖 57 回帖 428 粉丝 3 关注私信	anywhere杨 46 楼你怎么能知道代码中不会引用绝地地址？，就想当于你怎么知道，不会需要引用全局变量？ 2014-5-10 11:13 0
htpidk 雪币： 7860 活跃值： (4734) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 289 粉丝 1 关注私信	htpidk 47 楼上面说的修改属性是为了触发异常修改EIP啊，不过每次修改都是修改一个页面，效率也太低，不如下硬件断点加SEH修改EIP，不过11现在有检测硬断，用上次看见的那个“专业黑子”还是“小白一个”（忘记是哪个了）发的帖子里的方法又太麻烦了。11的大地图对于我等小菜来说不好搞啊。另外现在隐藏模块我知道有两种方法就是LDR脱链或者抹掉VAD，最多再加上抹掉PE标识防止暴力枚举，我一般用的是脱链隐藏（对二叉树不是很熟悉，囧），V大多透露点隐藏模块方法？ 2014-5-10 11:34 0
誓言剑雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 249 粉丝 0 关注私信	誓言剑 48 楼我他妈实在受不了你们了.我哪一句说了完全不会使用绝对地址?我他妈说的清清楚楚"只有指向非text节的内存才会用绝对寻址".什么东西会在非text节?全局变量啊! 而且我他妈说了多少次了,全局变量不需要处理!复制内存后你还是需要访问以前的全局变量,不然会造成数据不一致产生错误的!至于指令跳转,相对寻址只需要5个字节就能覆盖上下2GB,对于99%的程序都足够用了.绝对寻址在32位要额外2字节的段寄存器而没有额外好处(在通常2GB内存地址情况下),64位更是要12个字节.任何有脑子的编译器都不会为代码跳转生成绝对寻址好不好! 2014-5-11 00:14 0
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 49 楼同求同求 2014-5-11 12:05 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 50 楼总之这种复制 game.dll的方法是不保险的，90%的情况不出错则已，一旦出错误蓝得你找不到原因。再说成功率有90%还是80%或是更低也不一定。 2014-5-11 16:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]11平台检测通杀 修改所有线程EIP到新的GAME DLL区域

[求助]11平台检测通杀修改所有线程EIP到新的GAME DLL区域