设为首页收藏本站
开启辅助访问 切换到宽版

看流星社区

 找回密码
 注册账号
看流星社区»看流星社区 » 【编程技术】 驱动开发技术 过TP游戏驱动保护双机调试
返回列表 发新帖
查看: 13878|回复: 1

过TP游戏驱动保护双机调试

[复制链接]
ytn2001

该用户从未签到
发表于 2018-3-4 10:46:41 | 显示全部楼层 |阅读模式

调试环境: win7 + windbg + VirtualKD +vmware(虚拟机装的XP SP3)
xp内核:ntkrnlpa.exe
理论知识准备:windbg双机联调的配置和内核调式器原理,这方面谷歌上大把资料,自己找吧。

我们都知道,在虚拟机上运行有驱动保护的游戏后,windbg就会没办法下断了,准确点说是windbg不会再收到目标机的任何数据,所以这时候外在现象就是windbg虽然仍然显示连接中,但是所有的功能都用不了。

要解决这个问题,我们首先要换位思考,如果是你,你怎么实现这个功能,最简单的方法当然是调用内核现成的API来实现禁用调试这个功能,于是查找内核API,发现有个KdDisableDebugger函数,从名字看就知道是干啥的了。

先在windbg查看函数具体实现,如下:
  1. 804f779c 8bff            mov     edi,edi
  2. 804f779e 55              push    ebp
  3. 804f779f 8bec            mov     ebp,esp
  4. 804f77a1 51              push    ecx
  5. 804f77a2 b102            mov     cl,2
  6. 804f77a4 ff15f4864d80    call    dword ptr [nt!_imp_KfRaiseIrql (804d86f4)]
  7. 804f77aa 8845ff          mov     byte ptr [ebp-1],al
  8. 804f77ad e81c010000      call    nt!KdpPortLock (804f78ce)
  9. 804f77b2 833dc8d5548000  cmp     dword ptr [nt!KdDisableCount (8054d5c8)],0
  10. 804f77b9 753a            jne     nt!KdDisableDebugger+0x59 (804f77f5)

  12. nt!KdDisableDebugger+0x1f:
  13. 804f77bb a0c1d55480      mov     al,byte ptr [nt!KdDebuggerEnabled (8054d5c1)]
  14. 804f77c0 84c0            test    al,al
  15. 804f77c2 7410            je      nt!KdDisableDebugger+0x38 (804f77d4)

  17. nt!KdDisableDebugger+0x28:
  18. 804f77c4 803dfc6f548000  cmp     byte ptr [nt!KdPitchDebugger (80546ffc)],0
  19. 804f77cb c605ccd5548001  mov     byte ptr [nt!KdPreviouslyEnabled (8054d5cc)],1
  20. 804f77d2 7407            je      nt!KdDisableDebugger+0x3f (804f77db)

  22. nt!KdDisableDebugger+0x38:
  23. 804f77d4 c605ccd5548000  mov     byte ptr [nt!KdPreviouslyEnabled (8054d5cc)],0

  25. nt!KdDisableDebugger+0x3f:
  26. 804f77db 84c0            test    al,al
  27. 804f77dd 7416            je      nt!KdDisableDebugger+0x59 (804f77f5)

  29. nt!KdDisableDebugger+0x43:
  30. 804f77df e8baa31600      call    nt!KdpSuspendAllBreakpoints (80661b9e)
  31. 804f77e4 c70504405580867c4f80 mov dword ptr [nt!KiDebugRoutine (80554004)],offset nt!KdpStub (804f7c86)
  32. 804f77ee c605c1d5548000  mov     byte ptr [nt!KdDebuggerEnabled (8054d5c1)],0

  34. nt!KdDisableDebugger+0x59:
  35. 804f77f5 ff05c8d55480    inc     dword ptr [nt!KdDisableCount (8054d5c8)]
  36. 804f77fb e8de000000      call    nt!KdpPortUnlock (804f78de)
  37. 804f7800 8a4dff          mov     cl,byte ptr [ebp-1]
  38. 804f7803 ff151c874d80    call    dword ptr [nt!_imp_KfLowerIrql (804d871c)]
  39. 804f7809 c9              leave
  40. 804f780a c3              ret
复制代码


发现在nt!KdDisableDebugger+0x43处,是API真正起作用的地方
首先call    nt!KdpSuspendAllBreakpoints挂起所有的断点,执行完这个call,windbg会从断开状态变为运行状态
然后nt!KiDebugRoutine变量设为nt!KdpStub
最后nt!KdDebuggerEnabled 变量设为0,也就是false
这三条指令执行后,windbg也就无法再继续调试了

这里需要注意KiDebugRoutine,这是一个函数变量,内核调试绝大部分工作都是调用该变量所指向的函数来实现的,那么这里将它赋值为KdpStub是什么意思呢?

原来在内核中,有两个API实现了内核调试的功能,KdpStub和KdpTrap,这两个函数有什么区别呢?KdpStub是在非调试情况下使用的API,也就是说在非调式情况下KiDebugRoutine应该是指向KdpStub的,而KdpStub基本上没做什么调试的事情,而所有和调试相关的工作则都放到了KdpTrap里,所以,要想保持windbg可以使用,则要保证KiDebugRoutine是指向KdpTrap的。

分析完毕,那么要现在看游戏保护是否真的调用了KdDisableDebugger。
在KdDisableDebugger开头下断点,启动游戏。
windbg断下来了,看来是真的调用了这个函数,那么现在我们要让这个函数失去作用。
windbg输入ew KdDisableDebugger 0xc390, 意思是修改KdDisableDebugger头两个字节,变为:
  1. kd> u KdDisableDebugger
  2. nt!KdDisableDebugger:
  3. 804f779c 90              nop
  4. 804f779d c3              ret
复制代码

现在KdDisableDebugger会直接返回,不在起作用。
当然,事情远没有这么简单,取消断点继续执行后,会发现windbg还是没办法用。
看来游戏保护在调用KdDisableDebugger后还做了其他的事情。

一切重来,重启虚拟机XP,修改KdDisableDebugger为直接返回,下断KdDisableDebugger。
运行游戏,断下来后,单步执行两次,返回到上一层函数,整个函数如下
  1. ee1a5fca a16c6b1bee      mov     eax,dword ptr [TesSafe+0x17b6c (ee1b6b6c)]
  2. ee1a5fcf 8b0d686b1bee    mov     ecx,dword ptr [TesSafe+0x17b68 (ee1b6b68)]
  3. ee1a5fd5 56              push    esi
  4. ee1a5fd6 8b7028          mov     esi,dword ptr [eax+28h]
  5. ee1a5fd9 57              push    edi
  6. ee1a5fda 8b782c          mov     edi,dword ptr [eax+2Ch]
  7. ee1a5fdd 33f1            xor     esi,ecx
  8. ee1a5fdf 33f9            xor     edi,ecx
  9. ee1a5fe1 eb4b            jmp     TesSafe+0x702e (ee1a602e)
  10. ee1a5fe3 803d6d221bee00  cmp     byte ptr [TesSafe+0x1326d (ee1b226d)],0
  11. ee1a5fea 7516            jne     TesSafe+0x7002 (ee1a6002)
  12. ee1a5fec 688a4d6e43      push    436E4D8Ah
  13. ee1a5ff1 6876426e57      push    576E4276h
  14. ee1a5ff6 e873caffff      call    TesSafe+0x3a6e (ee1a2a6e)
  15. ee1a5ffb c6056d221bee01  mov     byte ptr [TesSafe+0x1326d (ee1b226d)],1
  16. ee1a6002 85ff            test    edi,edi
  17. ee1a6004 7404            je      TesSafe+0x700a (ee1a600a)
  18. ee1a6006 ffd7            call    edi
  19. ee1a6008 eb24            jmp     TesSafe+0x702e (ee1a602e)
  20. ee1a600a 803d6e221bee00  cmp     byte ptr [TesSafe+0x1326e (ee1b226e)],0
  21. ee1a6011 751b            jne     TesSafe+0x702e (ee1a602e)
  22. ee1a6013 6812010000      push    112h
  23. ee1a6018 68e64d6e43      push    436E4DE6h
  24. ee1a601d 6873426e57      push    576E4273h
  25. ee1a6022 e865caffff      call    TesSafe+0x3a8c (ee1a2a8c)
  26. ee1a6027 c6056e221bee01  mov     byte ptr [TesSafe+0x1326e (ee1b226e)],1
  27. ee1a602e 803e00          cmp     byte ptr [esi],0
  28. ee1a6031 75b0            jne     TesSafe+0x6fe3 (ee1a5fe3)
  29. ee1a6033 5f              pop     edi
  30. ee1a6034 5e              pop     esi
  31. ee1a6035 c3              ret
复制代码


上图红色部分为当前CPU要执行的指令,继续往下执行,会发现ee1a6031处会直接跳转会该函数前面,分析它的跳转条件,cmp     byte ptr [esi],0,执行到这里时,查看下esi的值,发现为8054d5c1,回想下KdDisableDebugger函数实现,里面有个变量KdDebuggerEnabled的地址也为8054d5c1,也就是说在调用了KdDisableDebugger,程序会判断KdDebuggerEnabled的值是否为1,为1的话就不停的调用KdDisableDebugger........, 所以只修改KdDisableDebugger直接返回你会发现你的cpu会一直处于满负荷状态,好吧,那我修改下这个地方的判断,jne改为je,现在好了,不会再死循环了。想一想,游戏保护应该还可能有其他的地方调用了KdDisableDebugger,所以先不取消KdDisableDebugger的断点,继续执行,果然,又断下来了,执行两步,回到调用函数,如下:
  1. ee1a6112 a16c6b1bee      mov     eax,dword ptr [TesSafe+0x17b6c (ee1b6b6c)] ds:0023:ee1b6b6c=862204e8
  2. ee1a6117 8b402c          mov     eax,dword ptr [eax+2Ch]
  3. ee1a611a 3305686b1bee    xor     eax,dword ptr [TesSafe+0x17b68 (ee1b6b68)]
  4. ee1a6120 7404            je      TesSafe+0x7126 (ee1a6126)
  5. ee1a6122 ffd0            call    eax
  6. ee1a6124 eb24            jmp     TesSafe+0x714a (ee1a614a)
  7. ee1a6126 803d72221bee00  cmp     byte ptr [TesSafe+0x13272 (ee1b2272)],0
  8. ee1a612d 751b            jne     TesSafe+0x714a (ee1a614a)
  9. ee1a612f 6882010000      push    182h
  10. ee1a6134 68e64d6e43      push    436E4DE6h
  11. ee1a6139 6873426e57      push    576E4273h
  12. ee1a613e e849c9ffff      call    TesSafe+0x3a8c (ee1a2a8c)
  13. ee1a6143 c60572221bee01  mov     byte ptr [TesSafe+0x13272 (ee1b2272)],1
  14. ee1a614a 8b0d64221bee    mov     ecx,dword ptr [TesSafe+0x13264 (ee1b2264)]
  15. ee1a6150 85c9            test    ecx,ecx
  16. ee1a6152 740f            je      TesSafe+0x7163 (ee1a6163)
  17. ee1a6154 a168221bee      mov     eax,dword ptr [TesSafe+0x13268 (ee1b2268)]
  18. ee1a6159 85c0            test    eax,eax
  19. ee1a615b 7406            je      TesSafe+0x7163 (ee1a6163)
  20. ee1a615d 3901            cmp     dword ptr [ecx],eax
  21. ee1a615f 7402            je      TesSafe+0x7163 (ee1a6163)
  22. ee1a6161 8901            mov     dword ptr [ecx],eax
  23. ee1a6163 c3              ret
复制代码


当前指令位于ee1a6124处,往下继续执行
在windbg的反汇编窗口,我们会看到出现一些符号提示,如下
ee1a614a 8b0d64221bee    mov     ecx,dword ptr [TesSafe+0x13264 (ee1b2264)] ds:0023:ee1b2264={nt!KiDebugRoutine (80554004)}
运行到ee1a614a ,出现了KiDebugRoutine,猜测这里应该是强行将KiDebugRoutine设为了KdpStub,往下执行,在ee1a6161处
ee1a6161 8901            mov     dword ptr [ecx],eax  ds:0023:80554004={nt!KdpTrap (80662706)}
这里显示的符号为ecx当前所有,而这条指令是吧eax的值付给ecx地址处,
kd> r eax
eax=804f7c86
看到eax为804f7c86

  1. kd> u KdpStub
  2. nt!KdpStub:
  3. 804f7c86 8bff            mov     edi,edi
复制代码

看到KdpStub的地址为804f7c86

得到结论,ee1a6161处将KdpStub赋值给了KiDebugRoutine,而KiDebugRoutine必须保持为KdpTrap ,那么简单了,nop掉这句(建议不要采用nop的方式,因为搞不好以后就会内存校验这里,这里另外一种比较稳妥的方法是更改kdpStub头部,让其直接jmp到KdpTrap ),继续执行。

又在KdDisableDebugger断下了,回到上层函数,发现还是之前那个函数,无视之,继续执行,
在连续断下N次后,每次都是这个函数,那么基本上也就确认只有两个地方调用了。去掉KdDisableDebugger的断点,继续执行。

游戏跑起来后,现在在break windbg,发现windbg又可以断下了。
搞定收工。
总结下步骤,
1.修改KdDisableDebugger为直接返回即在windbg执行 ew KdDisableDebugger 0xc390
2.修改驱动保护第一个调用KdDisableDebugger的函数,让其通过检查KdDebuggerEnabled,防止死循环,在windbg执行eb TesSafe+0x7031 74
3.修改驱动保护第二个调用KdDisableDebugger的函数,让其不要修改KiDebugRoutine的值,在windbg输入ew TesSafe+7161 9090
回复

举报

魔皇铭

该用户从未签到
发表于 2019-11-25 10:55:01 | 显示全部楼层
需要游戏调试驱动的+Q1084850218

支持楼主,支持看流星社区,以后我会经常来!
回复 支持 反对

举报

返回列表 发新帖
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

小黑屋|手机版|Archiver|看流星社区 |网站地图

GMT+8, 2024-4-20 10:19

Powered by Kanliuxing X3.4

© 2010-2019 kanliuxing.com

快速回复 返回顶部 返回列表