龙马谷

 找回密码
 立即注册

QQ登录

只需一步,快速开始

龙马谷VIP会员办理客服QQ:82926983(如果临时会话没有收到回复,请先加QQ好友再发。)
1 [已完结] GG修改器新手入门与实战教程 31课 2 [已完结] GG修改器美化修改教程 6课 3 [已完结] GG修改器Lua脚本新手入门教程 12课
4 [已完结] 触动精灵脚本新手入门必学教程 22课 5 [已完结] 手游自动化脚本入门实战教程 9课 6 [已完结] C++射击游戏方框骨骼透视与自瞄教程 27课
7 [已完结] C++零基础UE4逆向开发FPS透视自瞄教程 29课 8 [已完结] C++零基础大漠模拟器手游自动化辅助教程 22课 9 [已完结] C++零基础开发DXF内存脚本辅助教程 32课
以下是天马阁VIP教程,本站与天马阁合作,赞助VIP可以获得天马阁对应VIP会员,名额有限! 点击进入天马阁论坛
1 [已完结] x64CE与x64dbg入门基础教程 7课 2 [已完结] x64汇编语言基础教程 16课 3 [已完结] x64辅助入门基础教程 9课
4 [已完结] C++x64内存辅助实战技术教程 149课 5 [已完结] C++x64内存检测与过检测技术教程 10课 6 [已完结] C+x64二叉树分析遍历与LUA自动登陆教程 19课
7 [已完结] C++BT功能原理与x64实战教程 29课 8 [已完结] C+FPS框透视与自瞄x64实现原理及防护思路
查看: 7120|回复: 1

过TP游戏驱动保护双机调试

[复制链接]

21

主题

0

回帖

26

积分

编程入门

Rank: 1

龙马币
52

调试环境: win7 + windbg + VirtualKD +vmware(虚拟机装的XP SP3)
xp内核:ntkrnlpa.exe
理论知识准备:windbg双机联调的配置和内核调式器原理,这方面谷歌上大把资料,自己找吧。

我们都知道,在虚拟机上运行有驱动保护的游戏后,windbg就会没办法下断了,准确点说是windbg不会再收到目标机的任何数据,所以这时候外在现象就是windbg虽然仍然显示连接中,但是所有的功能都用不了。

要解决这个问题,我们首先要换位思考,如果是你,你怎么实现这个功能,最简单的方法当然是调用内核现成的API来实现禁用调试这个功能,于是查找内核API,发现有个KdDisableDebugger函数,从名字看就知道是干啥的了。

先在windbg查看函数具体实现,如下:
  1. 804f779c 8bff            mov     edi,edi
  2. 804f779e 55              push    ebp
  3. 804f779f 8bec            mov     ebp,esp
  4. 804f77a1 51              push    ecx
  5. 804f77a2 b102            mov     cl,2
  6. 804f77a4 ff15f4864d80    call    dword ptr [nt!_imp_KfRaiseIrql (804d86f4)]
  7. 804f77aa 8845ff          mov     byte ptr [ebp-1],al
  8. 804f77ad e81c010000      call    nt!KdpPortLock (804f78ce)
  9. 804f77b2 833dc8d5548000  cmp     dword ptr [nt!KdDisableCount (8054d5c8)],0
  10. 804f77b9 753a            jne     nt!KdDisableDebugger+0x59 (804f77f5)

  11. nt!KdDisableDebugger+0x1f:
  12. 804f77bb a0c1d55480      mov     al,byte ptr [nt!KdDebuggerEnabled (8054d5c1)]
  13. 804f77c0 84c0            test    al,al
  14. 804f77c2 7410            je      nt!KdDisableDebugger+0x38 (804f77d4)

  15. nt!KdDisableDebugger+0x28:
  16. 804f77c4 803dfc6f548000  cmp     byte ptr [nt!KdPitchDebugger (80546ffc)],0
  17. 804f77cb c605ccd5548001  mov     byte ptr [nt!KdPreviouslyEnabled (8054d5cc)],1
  18. 804f77d2 7407            je      nt!KdDisableDebugger+0x3f (804f77db)

  19. nt!KdDisableDebugger+0x38:
  20. 804f77d4 c605ccd5548000  mov     byte ptr [nt!KdPreviouslyEnabled (8054d5cc)],0

  21. nt!KdDisableDebugger+0x3f:
  22. 804f77db 84c0            test    al,al
  23. 804f77dd 7416            je      nt!KdDisableDebugger+0x59 (804f77f5)

  24. nt!KdDisableDebugger+0x43:
  25. 804f77df e8baa31600      call    nt!KdpSuspendAllBreakpoints (80661b9e)
  26. 804f77e4 c70504405580867c4f80 mov dword ptr [nt!KiDebugRoutine (80554004)],offset nt!KdpStub (804f7c86)
  27. 804f77ee c605c1d5548000  mov     byte ptr [nt!KdDebuggerEnabled (8054d5c1)],0

  28. nt!KdDisableDebugger+0x59:
  29. 804f77f5 ff05c8d55480    inc     dword ptr [nt!KdDisableCount (8054d5c8)]
  30. 804f77fb e8de000000      call    nt!KdpPortUnlock (804f78de)
  31. 804f7800 8a4dff          mov     cl,byte ptr [ebp-1]
  32. 804f7803 ff151c874d80    call    dword ptr [nt!_imp_KfLowerIrql (804d871c)]
  33. 804f7809 c9              leave
  34. 804f780a c3              ret
复制代码


发现在nt!KdDisableDebugger+0x43处,是API真正起作用的地方
首先call    nt!KdpSuspendAllBreakpoints挂起所有的断点,执行完这个call,windbg会从断开状态变为运行状态
然后nt!KiDebugRoutine变量设为nt!KdpStub
最后nt!KdDebuggerEnabled 变量设为0,也就是false
这三条指令执行后,windbg也就无法再继续调试了

这里需要注意KiDebugRoutine,这是一个函数变量,内核调试绝大部分工作都是调用该变量所指向的函数来实现的,那么这里将它赋值为KdpStub是什么意思呢?

原来在内核中,有两个API实现了内核调试的功能,KdpStub和KdpTrap,这两个函数有什么区别呢?KdpStub是在非调试情况下使用的API,也就是说在非调式情况下KiDebugRoutine应该是指向KdpStub的,而KdpStub基本上没做什么调试的事情,而所有和调试相关的工作则都放到了KdpTrap里,所以,要想保持windbg可以使用,则要保证KiDebugRoutine是指向KdpTrap的。

分析完毕,那么要现在看游戏保护是否真的调用了KdDisableDebugger。
在KdDisableDebugger开头下断点,启动游戏。
windbg断下来了,看来是真的调用了这个函数,那么现在我们要让这个函数失去作用。
windbg输入ew KdDisableDebugger 0xc390, 意思是修改KdDisableDebugger头两个字节,变为:
  1. kd> u KdDisableDebugger
  2. nt!KdDisableDebugger:
  3. 804f779c 90              nop
  4. 804f779d c3              ret
复制代码

现在KdDisableDebugger会直接返回,不在起作用。
当然,事情远没有这么简单,取消断点继续执行后,会发现windbg还是没办法用。
看来游戏保护在调用KdDisableDebugger后还做了其他的事情。

一切重来,重启虚拟机XP,修改KdDisableDebugger为直接返回,下断KdDisableDebugger。
运行游戏,断下来后,单步执行两次,返回到上一层函数,整个函数如下
  1. ee1a5fca a16c6b1bee      mov     eax,dword ptr [TesSafe+0x17b6c (ee1b6b6c)]
  2. ee1a5fcf 8b0d686b1bee    mov     ecx,dword ptr [TesSafe+0x17b68 (ee1b6b68)]
  3. ee1a5fd5 56              push    esi
  4. ee1a5fd6 8b7028          mov     esi,dword ptr [eax+28h]
  5. ee1a5fd9 57              push    edi
  6. ee1a5fda 8b782c          mov     edi,dword ptr [eax+2Ch]
  7. ee1a5fdd 33f1            xor     esi,ecx
  8. ee1a5fdf 33f9            xor     edi,ecx
  9. ee1a5fe1 eb4b            jmp     TesSafe+0x702e (ee1a602e)
  10. ee1a5fe3 803d6d221bee00  cmp     byte ptr [TesSafe+0x1326d (ee1b226d)],0
  11. ee1a5fea 7516            jne     TesSafe+0x7002 (ee1a6002)
  12. ee1a5fec 688a4d6e43      push    436E4D8Ah
  13. ee1a5ff1 6876426e57      push    576E4276h
  14. ee1a5ff6 e873caffff      call    TesSafe+0x3a6e (ee1a2a6e)
  15. ee1a5ffb c6056d221bee01  mov     byte ptr [TesSafe+0x1326d (ee1b226d)],1
  16. ee1a6002 85ff            test    edi,edi
  17. ee1a6004 7404            je      TesSafe+0x700a (ee1a600a)
  18. ee1a6006 ffd7            call    edi
  19. ee1a6008 eb24            jmp     TesSafe+0x702e (ee1a602e)
  20. ee1a600a 803d6e221bee00  cmp     byte ptr [TesSafe+0x1326e (ee1b226e)],0
  21. ee1a6011 751b            jne     TesSafe+0x702e (ee1a602e)
  22. ee1a6013 6812010000      push    112h
  23. ee1a6018 68e64d6e43      push    436E4DE6h
  24. ee1a601d 6873426e57      push    576E4273h
  25. ee1a6022 e865caffff      call    TesSafe+0x3a8c (ee1a2a8c)
  26. ee1a6027 c6056e221bee01  mov     byte ptr [TesSafe+0x1326e (ee1b226e)],1
  27. ee1a602e 803e00          cmp     byte ptr [esi],0
  28. ee1a6031 75b0            jne     TesSafe+0x6fe3 (ee1a5fe3)
  29. ee1a6033 5f              pop     edi
  30. ee1a6034 5e              pop     esi
  31. ee1a6035 c3              ret
复制代码


上图红色部分为当前CPU要执行的指令,继续往下执行,会发现ee1a6031处会直接跳转会该函数前面,分析它的跳转条件,cmp     byte ptr [esi],0,执行到这里时,查看下esi的值,发现为8054d5c1,回想下KdDisableDebugger函数实现,里面有个变量KdDebuggerEnabled的地址也为8054d5c1,也就是说在调用了KdDisableDebugger,程序会判断KdDebuggerEnabled的值是否为1,为1的话就不停的调用KdDisableDebugger........, 所以只修改KdDisableDebugger直接返回你会发现你的cpu会一直处于满负荷状态,好吧,那我修改下这个地方的判断,jne改为je,现在好了,不会再死循环了。想一想,游戏保护应该还可能有其他的地方调用了KdDisableDebugger,所以先不取消KdDisableDebugger的断点,继续执行,果然,又断下来了,执行两步,回到调用函数,如下:
  1. ee1a6112 a16c6b1bee      mov     eax,dword ptr [TesSafe+0x17b6c (ee1b6b6c)] ds:0023:ee1b6b6c=862204e8
  2. ee1a6117 8b402c          mov     eax,dword ptr [eax+2Ch]
  3. ee1a611a 3305686b1bee    xor     eax,dword ptr [TesSafe+0x17b68 (ee1b6b68)]
  4. ee1a6120 7404            je      TesSafe+0x7126 (ee1a6126)
  5. ee1a6122 ffd0            call    eax
  6. ee1a6124 eb24            jmp     TesSafe+0x714a (ee1a614a)
  7. ee1a6126 803d72221bee00  cmp     byte ptr [TesSafe+0x13272 (ee1b2272)],0
  8. ee1a612d 751b            jne     TesSafe+0x714a (ee1a614a)
  9. ee1a612f 6882010000      push    182h
  10. ee1a6134 68e64d6e43      push    436E4DE6h
  11. ee1a6139 6873426e57      push    576E4273h
  12. ee1a613e e849c9ffff      call    TesSafe+0x3a8c (ee1a2a8c)
  13. ee1a6143 c60572221bee01  mov     byte ptr [TesSafe+0x13272 (ee1b2272)],1
  14. ee1a614a 8b0d64221bee    mov     ecx,dword ptr [TesSafe+0x13264 (ee1b2264)]
  15. ee1a6150 85c9            test    ecx,ecx
  16. ee1a6152 740f            je      TesSafe+0x7163 (ee1a6163)
  17. ee1a6154 a168221bee      mov     eax,dword ptr [TesSafe+0x13268 (ee1b2268)]
  18. ee1a6159 85c0            test    eax,eax
  19. ee1a615b 7406            je      TesSafe+0x7163 (ee1a6163)
  20. ee1a615d 3901            cmp     dword ptr [ecx],eax
  21. ee1a615f 7402            je      TesSafe+0x7163 (ee1a6163)
  22. ee1a6161 8901            mov     dword ptr [ecx],eax
  23. ee1a6163 c3              ret
复制代码


当前指令位于ee1a6124处,往下继续执行
在windbg的反汇编窗口,我们会看到出现一些符号提示,如下
ee1a614a 8b0d64221bee    mov     ecx,dword ptr [TesSafe+0x13264 (ee1b2264)] ds:0023:ee1b2264={nt!KiDebugRoutine (80554004)}
运行到ee1a614a ,出现了KiDebugRoutine,猜测这里应该是强行将KiDebugRoutine设为了KdpStub,往下执行,在ee1a6161处
ee1a6161 8901            mov     dword ptr [ecx],eax  ds:0023:80554004={nt!KdpTrap (80662706)}
这里显示的符号为ecx当前所有,而这条指令是吧eax的值付给ecx地址处,
kd> r eax
eax=804f7c86
看到eax为804f7c86

  1. kd> u KdpStub
  2. nt!KdpStub:
  3. 804f7c86 8bff            mov     edi,edi
复制代码

看到KdpStub的地址为804f7c86

得到结论,ee1a6161处将KdpStub赋值给了KiDebugRoutine,而KiDebugRoutine必须保持为KdpTrap ,那么简单了,nop掉这句(建议不要采用nop的方式,因为搞不好以后就会内存校验这里,这里另外一种比较稳妥的方法是更改kdpStub头部,让其直接jmp到KdpTrap ),继续执行。

又在KdDisableDebugger断下了,回到上层函数,发现还是之前那个函数,无视之,继续执行,
在连续断下N次后,每次都是这个函数,那么基本上也就确认只有两个地方调用了。去掉KdDisableDebugger的断点,继续执行。

游戏跑起来后,现在在break windbg,发现windbg又可以断下了。
搞定收工。
总结下步骤,
1.修改KdDisableDebugger为直接返回即在windbg执行 ew KdDisableDebugger 0xc390
2.修改驱动保护第一个调用KdDisableDebugger的函数,让其通过检查KdDebuggerEnabled,防止死循环,在windbg执行eb TesSafe+0x7031 74
3.修改驱动保护第二个调用KdDisableDebugger的函数,让其不要修改KiDebugRoutine的值,在windbg输入ew TesSafe+7161 9090


0

主题

7

回帖

7

积分

编程入门

Rank: 1

龙马币
0
感谢分享     
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

龙马谷| C/C++辅助教程| 安卓逆向安全| 论坛导航| 免责申明|Archiver|
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表龙马谷立场!
任何人不得以任何方式翻录、盗版或出售本站视频,一经发现我们将追究其相关责任!
我们一直在努力成为最好的编程论坛!
Copyright© 2018-2021 All Right Reserved.
在线客服
快速回复 返回顶部 返回列表