过DNF TP 驱动保护1.doc

文章目录： 01. 博文简介： 02. 环境及工具准备： 03. 分析 TP 所做的保护： 04. 干掉 NtOpenProcess 中的 Deep InLine Hook： 05. 干掉 NtOpenThread 中的 Deep InLine Hook： 06. 干掉 NtReadVirtualMemory 中的 InLine Hook： 07. 干掉 NtWriteVirtualMemory 中的 InLine Hook： 08. 干掉 KiAttachProcess 的 InLine Hook： 09. 干掉 NtGetContextThread 中的 InLine Hook： 10. 干掉 NtSetContextThread 中的 InLine Hook： 11. 干掉 DbgkpQueueMessage 中的 InLine Hook： 12. 干掉 DbgkpSetProcessDebugObject 中的 InLine Hook： 13. 干掉 Debug 清零： 共四篇，本篇为第一篇。 01. 博文简介： 本篇博文仅仅是我对过 TP 保护所作的一个总结，里面没有啥高深的技术， 仅仅是 Hook 而已，并且只有些 InLine Hook 和 SSDT Hook 的代码， 这些对大牛而言都是小菜一碟，所以大牛们可以直接飘过咯 ^_^ 然后就是关于本篇博文，估计会比较长，所以我会按照上面的目录分出来一，二，三，四篇相继发表。 我先来装回逼科普下 TP 吧，直接从百度百科抄袭点过来: TP 系统全称 TenProtect，是由腾讯自主研发推出的安全系统，可以有效保护游戏不受外挂侵犯，同时具备反木马盗号功能， 能有效的防止用户游戏帐号和虚拟财产被窃取。腾讯 TP 系统主要作用为外挂检测、反盗号、反非法工作室、防非法消息。 具体功能如下： 反注入：TP系统能有效的阻止非法模块对游戏进行注入; 反加速：TP系统能防止游戏客户端的非法加速功能; 反模拟按键：TP系统能有效阻止模拟按键程序; 反脱机： TP系统能针对非正常登录游戏的行为进行检测; 反调试： TP系统采用内核级反调试技术，保护游戏进程不被调试和分析; 反木马： TP系统可以保护玩家帐号不被木马程序窃取; 检测外挂功能：TP系统能对外挂功能进行检测; 指令混淆： TP系统能对正常指令进行虚拟和变形，加大外挂作者逆向难度; 特征匹配： TP系统采用特征码匹配技术，能准确检测到外挂的使用; 文件校验：TP系统可以准确检测游戏目录下的文件是否被第三方程序篡改; 游戏内存数据校验： TP系统所特有技术手段可以准确感知到游戏关键数据的异常; 游戏进程保护： TP系统可以保护游戏进程不被第三方程序读写; 游戏虚拟财产保护： 在玩家因不当操作引起帐号泄漏情况下，TP系统也可以保护玩家帐号内虚拟财产不被不法份子转移; 我几个日子弄了过 TP 的驱动保护，算下来前前后后也弄了半来个月， 虽然比较累，但还是收获了蛮多东西，这篇博文就是将如何过掉 TP 做的一个总结而已， 在这篇文章中我会一一介绍过掉 TP 所 Hook 的各种 API 的思路，并附上简要的代码， 在过 TP 驱动保护的过程中以及一些思路和一些代码也很大程度上都是来自国内的几大论坛， 主要是看雪，一蓑烟雨，DebugMan 等论坛，这里对我所借鉴的那些哥们说 Many Thanks。 同时也得特别感谢刘总，很多地方若没有刘总的指导，则还指不定何时能够弄出来呢。 值得一提的是，我现在所做的过 TP 驱动保护只支持 32 位 XP，在所有的 32 位 XP 上都可以正常运行， 不过 Win7 的话还不行，因为里面用到了有哪些信誉好的足球投注网站特征码来定位未导出 API，而我只针对 XP 做了处理。 免责声明： 此文仅作为技术交流，有心之人切记不要拿来做坏事，尤其是不要拿来做伤天害理，或者伤害企鹅利益的事情， 对于那些有心要做坏事的，则所有后果或者反正是坏的方面的责任都与我无关， 如果此文伤害了某些公司的利益或者之类的，请站内消息或者留言联系我，本人看到后会第一时间关闭此文。 02. 环境及工具准备： 前面也提过了，此次过 TP 的驱动保护仅仅只适用于 XP 系统，所以，首先你得准备个虚拟机， 然后装个 XP 的系统，至于是 XP SP2 还是 XP SPxxx 就随便了，当然，如果你喜欢 BSOD 的话， 也完全可以装个其他的系统，然后的话，就得准备几个专业工具了，首先一个当然是 Xuetr 了， 不过 TP 能够检测出 Xuetr，所以 Xuetr 在 XP 机器上和 TP 同时运行时， 轻则导致 TP 弹出警告框，重则蓝屏，这个看个人运气了。 然后还有一个工具也很重量级，也是 Rootkit 检测工具，叫做 Kernel Detec