某游戏NGS检测硬件断点简单处理

wozzi

这个函数不走64位的syscall 寻找方法可对sysenter下断eax==NtOpenThread索引 断下后看堆栈

[C++] 纯文本查看 复制代码

ULONG32 VMEntry_OpenThread = 0x01A0EAB7;


NAKED NgsNtOpenThread()
{
        VMPBegin("NgsNtOpenThread");
        __asm
        {
                test eax, eax;
                jne Ngs_OpenThreadEnd;
                pushad;
                mov eax, dword ptr[ebp + 0x10];//Client->UniqueThread
                cmp eax, GameThreadId;
                jne Label_ThreadID;
                mov eax, dword ptr[ebp - 0x08];
                push eax;
                call CloseHandle;
                mov dword ptr[ebp - 0x08], 0x0;//清零
                mov dword ptr[ebp + 0x10], 0x0;//清零
                popad;
                mov eax, 0xC0000022;//返回STATUS_ACCESS_DENIED
                jmp dword ptr[VMEntry_OpenThread];
        Label_ThreadID:;
                popad;
        Ngs_OpenThreadEnd:;
                jmp dword ptr[VMEntry_OpenThread];
        }
        VMPEnd();
}

program_mx

下不完的雨 发表于 2020-2-1 23:31
研究过一阵子，一个是NP保护一个是HackShield保护，这2个都是韩国的驱动级保护，NGS的话是游戏公司所编写 ...

最近我也开始研究冒险岛了，
现在主要过了themida壳的虚拟机检测，上了游戏发现NGS也有虚拟机检测。
不过我发现冒险岛并没有加载驱动，说明没有驱动级检测吧？（不知道对不对）
我觉得保护应该在R3。保护文件名是 BlackCipher.aes这个文件

下不完的雨

program_mx 发表于 2020-2-1 01:32
他这种保护应该属于双进程保护，大佬有研究过吗

研究过一阵子，一个是NP保护一个是HackShield保护，这2个都是韩国的驱动级保护，NGS的话是游戏公司所编写的。

寒江看雪

哇哇哇哇哇

yyinzlf

郁闷啊， 楼主这说的不清不楚啊  

下不完的雨

冒险岛好像也有NGS吧

program_mx

下不完的雨 发表于 2019-12-4 14:45
冒险岛好像也有NGS吧

请问大佬NGS是什么保护的缩写

下不完的雨

program_mx 发表于 2020-1-20 14:01
请问大佬NGS是什么保护的缩写

韩国的NGS一个保护

program_mx

下不完的雨 发表于 2020-1-21 00:10
韩国的NGS一个保护

谢谢大佬，今天看冒险岛这款游戏有这个保护，但是这个保护并没有R0层的保护

下不完的雨

program_mx 发表于 2020-1-21 11:48
谢谢大佬，今天看冒险岛这款游戏有这个保护，但是这个保护并没有R0层的保护

这个就是，我也玩冒险岛。

program_mx

下不完的雨 发表于 2020-1-22 22:22
这个就是，我也玩冒险岛。

他这种保护应该属于双进程保护，大佬有研究过吗