去掉《英雄年代2新版之战国侠侣》驱动保护
1. 本打算2-3天来去掉这个游戏的驱动保护,哪知道只用了10分钟,真是应了那句千里之堤毁于蚁穴。2.用RKU察看没有ssdt,ssdtshoadow 的hook,看驱动列表有一个1394hub.sys是游戏目录的驱动(一阵狂喜,可以分析这个驱动是如何保护),发现该目录下并没有这个文件(难道是被驱动将文件隐藏了),用winhex分析这个盘的ntfs格式发现这个文件是被删除的状态(一阵狂喜,用winhex恢复出来不就可以分析了),用winhex分析出来竟然不是一个PE文件(找文件看来不行了)。
3.想起了RKU,用dump将驱动从内存复制出来,发现复制失败(看来这个驱动保护还好)。
4.想起了木马常常很早以前用来对象杀软方法,我们在游戏目录GPK的下面新建文件夹1394hub.sys,然后重启系统。驱动保护破除了用WPE PRO.exe可以正常的注入和抓取游戏封包分析了。
5.只是想说多么牛逼的技术,只是一点点的疏忽就被秒杀了。
页:
[1]