网站 › 『编程语言区』 › 某游戏NGS检测硬件断点简单处理

wozzi 发表于 2019-3-2 22:52

某游戏NGS检测硬件断点简单处理

本帖最后由 wozzi 于 2019-3-3 00:23 编辑

这个函数不走64位的syscall 寻找方法可对sysenter下断eax==NtOpenThread索引 断下后看堆栈

ULONG32 VMEntry_OpenThread = 0x01A0EAB7;


NAKED NgsNtOpenThread()
{
      VMPBegin("NgsNtOpenThread");
      __asm
      {
                test eax, eax;
                jne Ngs_OpenThreadEnd;
                pushad;
                mov eax, dword ptr;//Client->UniqueThread
                cmp eax, GameThreadId;
                jne Label_ThreadID;
                mov eax, dword ptr;
                push eax;
                call CloseHandle;
                mov dword ptr, 0x0;//清零
                mov dword ptr, 0x0;//清零
                popad;
                mov eax, 0xC0000022;//返回STATUS_ACCESS_DENIED
                jmp dword ptr;
      Label_ThreadID:;
                popad;
      Ngs_OpenThreadEnd:;
                jmp dword ptr;
      }
      VMPEnd();
}

program_mx 发表于 2020-2-2 21:36

下不完的雨 发表于 2020-2-1 23:31
研究过一阵子，一个是NP保护一个是HackShield保护，这2个都是韩国的驱动级保护，NGS的话是游戏公司所编写 ...

最近我也开始研究冒险岛了，
现在主要过了themida壳的虚拟机检测，上了游戏发现NGS也有虚拟机检测。
不过我发现冒险岛并没有加载驱动，说明没有驱动级检测吧？（不知道对不对）
我觉得保护应该在R3。保护文件名是 BlackCipher.aes这个文件

下不完的雨 发表于 2020-2-1 23:31

program_mx 发表于 2020-2-1 01:32
他这种保护应该属于双进程保护，大佬有研究过吗

研究过一阵子，一个是NP保护一个是HackShield保护，这2个都是韩国的驱动级保护，NGS的话是游戏公司所编写的。

寒江看雪 发表于 2019-3-2 23:43

哇哇哇哇哇

yyinzlf 发表于 2019-7-26 17:38

郁闷啊， 楼主这说的不清不楚啊

下不完的雨 发表于 2019-12-4 14:45

冒险岛好像也有NGS吧

program_mx 发表于 2020-1-20 14:01

下不完的雨 发表于 2019-12-4 14:45
冒险岛好像也有NGS吧

请问大佬NGS是什么保护的缩写

下不完的雨 发表于 2020-1-21 00:10

program_mx 发表于 2020-1-20 14:01
请问大佬NGS是什么保护的缩写
韩国的NGS一个保护

program_mx 发表于 2020-1-21 11:48

下不完的雨 发表于 2020-1-21 00:10
韩国的NGS一个保护

谢谢大佬，今天看冒险岛这款游戏有这个保护，但是这个保护并没有R0层的保护

下不完的雨 发表于 2020-1-22 22:22

program_mx 发表于 2020-1-21 11:48
谢谢大佬，今天看冒险岛这款游戏有这个保护，但是这个保护并没有R0层的保护

这个就是，我也玩冒险岛。

program_mx 发表于 2020-2-1 01:32

下不完的雨 发表于 2020-1-22 22:22
这个就是，我也玩冒险岛。

他这种保护应该属于双进程保护，大佬有研究过吗

查看完整版本: 某游戏NGS检测硬件断点简单处理