PASS驱动非法那点低能事

btjily

1.驱动非法的检测原理
==========
遍历驱动模块
根据驱动模块里的PE信息.
读固定区段的内存
内存字串 经过HASH转换表 -> MD5/CRC/SHA1
比对TP的非法特征表
发现相同=非法。
TP的非法特征包是:
游戏目录\start\TenProtect\TenSLX.dat
==============
2.Anti anti.
经过的流程如上.能够干掉的地方非常多.

传统方法隐藏驱动模块，使 “遍历驱动模块”这里失败。
隐藏内核模块能做的也就是以下几个地方
传统方法-1  断链
传统方法-2  设备DriverObject->base地址填0.卸载里恢复(个人怀疑这一条可能对现在的TP有效)
传统方法-3  设备DriverObject->DriverName.buffer 填0 或length填0
传统方法-4  删除注册表里的驱动描述信息
!!
这里首先说一下.驱动加载完.驱动文件是肯定要删除的.以免r0搞半天r3文件被查.
OK不废话.
断链是最垃圾的方法.
一旦前面或者后面的驱动比你的驱动先卸载.就将面临链表失控的状态.
（无论是驱动链还是 EPROCESS链 或者 PEB的DLL链）
并且也解决不了QueryInformationXXXX等暴力遍历的方法.
设备DriverObject->DriverName这里乱搞.对部分ARK工具有效.但是谁知道TP是不是暴力搜索内存实现的呢
同样也包括DriverObject.base地址填0的问题.
而且.
最主要的问题是.一旦在DriverObject结构里乱涂乱画.
势必和正常加载的驱动不一样..
只要检测程序能够遍历到内存段.
你乱改的东西反而可以作为一个非法驱动的标志被查。
=============
SO。
我们这里要谈的是过掉所有扫HASH查非法驱动的方法，
不是基于什么隐藏模块这种烂街的东西。

btjily

OK。这里才是正文~~

首先简单科普HASH的话题.

游戏保护要ANTI一个驱动.要获得hash无论是转换成CRC还是MD5什么的。
hash就是一个 "字节集" 到hash码的过程。

那么TP要获得hash 就有2种来源.
1. 从驱动文件得到
2.从内存得到

第1种可能性基本没有.
原因很简单. 其一是某保护驱动 没有挂钩NtLoadDriver。
其二如果你的驱动比保护先加载.并且删掉了驱动文件.某保护就获得不了HASH了

所以正常情况.Anti pass驱动都是第2种方法
围绕第2种方法我们就有2种比较靠谱的通用PASS方法。
=======

非法HASH
是不是 直接
字节集=  内核读内存 （模块base, 模块size)
然后getcrc(字节集) 就能得到？
答案是 NO!
=================
原因很简单..
一个Moudle中..不仅有.text代码段
还有.data数据段
数据段里的内存是会变的。
如果直接连带数据段一起拿去获得crc md5什么的，
结果就不会固定。那就什么模块都不非法了。

所以拿去获得hash的代码必须是静态代码。不能把.data等段混进去.
这里有两种方法获得
1. 获取PE信息里的区段信息-->查看区段标志.在根据voffset vsize得到改扫描的内容
2.遍历模块内内存属性获得.
SO...我们要做的就是.
在驱动入口函数里.
1 把 pe信息乱涂乱画掉..最直接有效的就是
base+60的e_lfanew。这个一乱改.整个PE信息全部错乱
2 把整个驱动模块内的内存全部设置成可读写的
=========================
基于让扫HASH失效。
还有如下方法：
1.让你每次释放的驱动不一样.结尾加东西是没用的.要随机在代码段里加.这还设计到校验和等问题。
2.破坏hash码表.. 别以为逆向某保护驱动有多难..有些东西可以用特征搜的。。eyybc2010年就有人发过那个特征了
随便改1字节..就使CRC结果全部出错.进而啥都不会非法了。自己反老帖
3.1楼帖子里谈到黑名单包的话题..
那就是文件->r3内存->驱动通信->进入r0的话题. 这里相信你们办法也很多.
============================
此外..在骆驼童鞋和妖言童鞋的工具里..还发现了某枚线程..
破坏线程就不是这里能说的清楚的了.
不过这类的方法一向是我不兴趣..
太针对性..纯粹靠花时间去试..没有通用技术性。
=======================

andy03

有见解啊