[求助]11平台检测通杀修改所有线程EIP到新的GAME DLL区域-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]11平台检测通杀修改所有线程EIP到新的GAME DLL区域

发表于: 2014-5-3 19:16 36977

[求助]11平台检测通杀修改所有线程EIP到新的GAME DLL区域

590339

2014-5-3 19:16

36977

查看主题内容

收藏・30

免费・0

支持

最新回复 (105) ◀ 1 2 3 4 5 ▶
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 51 楼不蓝的。。。 2014-5-12 14:03 0
kuty 雪币： 66 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	kuty 52 楼自己构建一个盏不用CALL指令改成JMP 前面PUSH一个游戏自身的RET指令地址 2014-5-12 19:35 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 53 楼 1、DLl代码加一定的VM，以VMP为例，选择“校验虚拟机”。 2、在关键调用处加返回地址检测。 3、初始化时使用特定的全局变量，在调用处加上绝对地址检测，重载后肯定就不对咯 3种方法任意一种完爆。 2014-5-12 20:03 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 54 楼 1.VMP这个真心校对虚拟机，不能检测此法。 2.话说，返回地址检测可以patch啊，复制的代码无视CRC啊。 3.同2。此法已经在很多懂的人那里实践了快5年了~ 2014-5-12 20:08 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 55 楼不能不做分析的拷贝game.dll就行了，说到底还是要逐条汇编语句的分析与破解，继续猫和老鼠的游戏。 2014-5-12 21:29 0
topofall 雪币： 124 活跃值： (629) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 56 楼路过打打酱油。。。。 2014-5-12 22:37 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 57 楼貌似依然建在~ 问题在于特征码扫描不到的~ 2014-5-12 22:47 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 58 楼 11平台和war3这个游戏是可以的，但是换个游戏比如某游戏，需要很多patch返回地址检测的~ 2014-5-12 22:48 0
哟哟哟哟雪币： 107 活跃值： (77) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 208 粉丝 0 关注私信	哟哟哟哟 59 楼我创建了一个game.dll副本，也被检测到了，我什么都被干。。求V大指点一二，怎么让特征码扫不到？ 2014-5-13 10:46 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 60 楼想patch没那么容易，整个函数已经被vmp给包起来了，除非破解vmp。 2014-5-14 11:31 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 61 楼包起来的更容易了，没全包起来还有难度，包起来就简单多了~ VMP的东西还是一样能patch的，关键在于战斗力级别。 2014-5-14 12:10 0
Yecate 雪币： 130 活跃值： (3533) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 261 粉丝 6 关注私信	Yecate 62 楼已领悟成功干掉某游戏crc 2014-5-14 14:14 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 63 楼我试了，为什么。还是会跳回去呢。。~@@~！~ 2014-5-14 23:33 0
pysafe 雪币： 896 活跃值： (4939) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 116 粉丝 12 关注私信	pysafe 64 楼你可以在storm初始化gamedll的时候就把你假的gamedll给他，这样就跑你那边去了呗，但是会被11查到的 2014-5-15 11:34 0
笑熬浆糊雪币： 627 活跃值： (1202) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 233 粉丝 4 关注私信	笑熬浆糊 2 65 楼 ret 的时候当然会跳回去栈里面的返回地址就是原始的地址 2014-5-15 17:56 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 66 楼乱了。指点一下啊 2014-5-15 18:04 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 67 楼 game.dll 代码段有很多这种代码 00E327C6 8B86 F494946F mov eax, dword ptr [0x6F9494F4] 00E327CC FFD0 call eax 这个就是代码段的代码。也不是堆栈，运行到这种就跑回去了啊。。各位成功的大神，，怎么成功的~@~ 2014-5-15 19:04 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 68 楼 [QUOTE=专业黑子;1284710]game.dll 代码段有很多这种代码 00E327C6 8B86 F494946F mov eax, dword ptr [0x6F9494F4] 00E327CC FFD0 call eax 这个就是代码段的代码。也不是堆栈，...[/QUOTE] 看我的图就懂了~ 2014-5-15 20:16 0
南门听雨雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	南门听雨 69 楼 [QUOTE=专业黑子;1284710]game.dll 代码段有很多这种代码 00E327C6 8B86 F494946F mov eax, dword ptr [0x6F9494F4] 00E327CC FFD0 call eax 这个就是代码段的代码。也不是堆栈，运行到这种就跑回去了啊。。各位成功的大神，，怎么成功的~@~ [/QUOTE] 肯定先要跑回原始image啊，但是原始text段已经被设置成NOACCESS了，所以会产生访问exception，被迫进入事先写好的处理例程，在例程里面会进行Eip转发（根据事先计算好的新旧模块地址差值，改到新image中的对应返回地址），相当于实现了运行时重定向。 2014-5-15 21:22 0
pysafe 雪币： 896 活跃值： (4939) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 116 粉丝 12 关注私信	pysafe 70 楼如果原始的text段都设置成noaccess，virtualquery下内存属性不就查到了 2014-5-16 14:25 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 71 楼嗯。第一次是照着你的图去写的，后来出错了。。我以为我理解错了。。我再试试 2014-5-16 17:59 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 72 楼 11 游戏每次点击右键，都会抛出一个异常，他的SEH 会处理这个异常，seh检查 eip 发现不在gamedll内，还是被t了啊 2014-5-16 18:10 0
南门听雨雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	南门听雨 73 楼 SEH肯定用自己的啊不然怎么Eip转发? 2014-5-16 18:25 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 74 楼 11xp 也有seh，，他在他的seh中，判断 eip 不在6f000000 范围内，我就被T了。。 2014-5-16 22:58 0
南门听雨雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	南门听雨 75 楼 Hook之。。。。。。。。。。。。 2014-5-17 18:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

590339

发帖

179

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (105) ◀ 1 2 3 4 5 ▶
590339 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 179 粉丝 0 关注私信	590339 51 楼不蓝的。。。 2014-5-12 14:03 0
kuty 雪币： 66 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 132 粉丝 1 关注私信	kuty 52 楼自己构建一个盏不用CALL指令改成JMP 前面PUSH一个游戏自身的RET指令地址 2014-5-12 19:35 0
AASSMM 雪币： 272 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 405 粉丝 0 关注私信	AASSMM 53 楼 1、DLl代码加一定的VM，以VMP为例，选择“校验虚拟机”。 2、在关键调用处加返回地址检测。 3、初始化时使用特定的全局变量，在调用处加上绝对地址检测，重载后肯定就不对咯 3种方法任意一种完爆。 2014-5-12 20:03 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 54 楼 1.VMP这个真心校对虚拟机，不能检测此法。 2.话说，返回地址检测可以patch啊，复制的代码无视CRC啊。 3.同2。此法已经在很多懂的人那里实践了快5年了~ 2014-5-12 20:08 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 55 楼不能不做分析的拷贝game.dll就行了，说到底还是要逐条汇编语句的分析与破解，继续猫和老鼠的游戏。 2014-5-12 21:29 0
topofall 雪币： 124 活跃值： (629) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 56 楼路过打打酱油。。。。 2014-5-12 22:37 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 57 楼貌似依然建在~ 问题在于特征码扫描不到的~ 2014-5-12 22:47 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 58 楼 11平台和war3这个游戏是可以的，但是换个游戏比如某游戏，需要很多patch返回地址检测的~ 2014-5-12 22:48 0
哟哟哟哟雪币： 107 活跃值： (77) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 208 粉丝 0 关注私信	哟哟哟哟 59 楼我创建了一个game.dll副本，也被检测到了，我什么都被干。。求V大指点一二，怎么让特征码扫不到？ 2014-5-13 10:46 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 60 楼想patch没那么容易，整个函数已经被vmp给包起来了，除非破解vmp。 2014-5-14 11:31 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 61 楼包起来的更容易了，没全包起来还有难度，包起来就简单多了~ VMP的东西还是一样能patch的，关键在于战斗力级别。 2014-5-14 12:10 0
Yecate 雪币： 130 活跃值： (3533) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 261 粉丝 6 关注私信	Yecate 62 楼已领悟成功干掉某游戏crc 2014-5-14 14:14 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 63 楼我试了，为什么。还是会跳回去呢。。~@@~！~ 2014-5-14 23:33 0
pysafe 雪币： 896 活跃值： (4939) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 116 粉丝 12 关注私信	pysafe 64 楼你可以在storm初始化gamedll的时候就把你假的gamedll给他，这样就跑你那边去了呗，但是会被11查到的 2014-5-15 11:34 0
笑熬浆糊雪币： 627 活跃值： (1202) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 233 粉丝 4 关注私信	笑熬浆糊 2 65 楼 ret 的时候当然会跳回去栈里面的返回地址就是原始的地址 2014-5-15 17:56 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 66 楼乱了。指点一下啊 2014-5-15 18:04 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 67 楼 game.dll 代码段有很多这种代码 00E327C6 8B86 F494946F mov eax, dword ptr [0x6F9494F4] 00E327CC FFD0 call eax 这个就是代码段的代码。也不是堆栈，运行到这种就跑回去了啊。。各位成功的大神，，怎么成功的~@~ 2014-5-15 19:04 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 68 楼 [QUOTE=专业黑子;1284710]game.dll 代码段有很多这种代码 00E327C6 8B86 F494946F mov eax, dword ptr [0x6F9494F4] 00E327CC FFD0 call eax 这个就是代码段的代码。也不是堆栈，...[/QUOTE] 看我的图就懂了~ 2014-5-15 20:16 0
南门听雨雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	南门听雨 69 楼 [QUOTE=专业黑子;1284710]game.dll 代码段有很多这种代码 00E327C6 8B86 F494946F mov eax, dword ptr [0x6F9494F4] 00E327CC FFD0 call eax 这个就是代码段的代码。也不是堆栈，运行到这种就跑回去了啊。。各位成功的大神，，怎么成功的~@~ [/QUOTE] 肯定先要跑回原始image啊，但是原始text段已经被设置成NOACCESS了，所以会产生访问exception，被迫进入事先写好的处理例程，在例程里面会进行Eip转发（根据事先计算好的新旧模块地址差值，改到新image中的对应返回地址），相当于实现了运行时重定向。 2014-5-15 21:22 0
pysafe 雪币： 896 活跃值： (4939) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 116 粉丝 12 关注私信	pysafe 70 楼如果原始的text段都设置成noaccess，virtualquery下内存属性不就查到了 2014-5-16 14:25 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 71 楼嗯。第一次是照着你的图去写的，后来出错了。。我以为我理解错了。。我再试试 2014-5-16 17:59 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 72 楼 11 游戏每次点击右键，都会抛出一个异常，他的SEH 会处理这个异常，seh检查 eip 发现不在gamedll内，还是被t了啊 2014-5-16 18:10 0
南门听雨雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	南门听雨 73 楼 SEH肯定用自己的啊不然怎么Eip转发? 2014-5-16 18:25 0
专业黑子雪币： 7 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 109 粉丝 0 关注私信	专业黑子 74 楼 11xp 也有seh，，他在他的seh中，判断 eip 不在6f000000 范围内，我就被T了。。 2014-5-16 22:58 0
南门听雨雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	南门听雨 75 楼 Hook之。。。。。。。。。。。。 2014-5-17 18:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]11平台检测通杀 修改所有线程EIP到新的GAME DLL区域

[求助]11平台检测通杀修改所有线程EIP到新的GAME DLL区域