【原创】Win7下过盛*大的Hack*Shield的部分驱动保护

lvlin

在Win7下很多XP的驱动都不适用了！前几个月研究了一下盛*大游戏的泡泡*堂的Hack*Shield驱动保护发现Hook了十多个内核函数，Ring 3和 Ring 0的双重保护
现在暂时发现钩住了以下函数
hook NtOpenProcess

hook NtReadVirtualMemory

hook NtWriteVirtualMemory

Hook NtClose

Hook NtProtectVirtualMemory

Hook NtGetContextThread

其中HOOK NtGetContextThread中用了两个钩子，恢复起来有些麻烦，但还是给恢复了

Ring 3层的程序通过DeviceIoControl传递游戏进程ID给驱动，然后驱动就执行相关的动作！现在给出部分关键的代码！

Ring 3层：

1. 
   
2. // 安装驱动的线程函数
   
3. UINT __cdecl CDriverProtectDlg::InstallDriverThread(LPVOID pParam)
   
4. {
   
5.   CDriverProtectDlg* pDlg = NULL;
   
6.   pDlg = (CDriverProtectDlg*)pParam;
   
7.   pDlg->UpdateData(TRUE);
   
8.   if (pDlg->strPath.IsEmpty())
   
9.   {
   
10.     AfxMessageBox(L"请选择驱动路径！");
    
11.     return 0;
    
12.   }
    
13.   if (pDlg->strrGamePath.IsEmpty())
    
14.   {
    
15.     AfxMessageBox(L"请选择游戏路径！");
    
16.     return 0;
    
17.   }
    
18.   if (!pDlg->LoadNTDriver(L"HelloDDK",pDlg->strPath.GetBuffer()))
    
19.   {
    
20.     pDlg->UnloadNTDriver(L"HelloDDK");
    
21.     pDlg->LoadNTDriver(L"HelloDDK",pDlg->strPath.GetBuffer());
    
22.   }
    
23.   HANDLE hDevice =
    
24.     ::CreateFileW(L"\\\\.\\HelloDDK",
    
25.     GENERIC_READ | GENERIC_WRITE,
    
26.     0,    // share mode none
    
27.     NULL,  // no security
    
28.     OPEN_EXISTING,
    
29.     FILE_ATTRIBUTE_NORMAL,
    
30.     NULL );    // no template
    
31.   if (hDevice == INVALID_HANDLE_VALUE)
    
32.   {
    
33.     pDlg->m_DriverINFORMATION.SetWindowTextW(L"打开驱动错误！");
    
34.     return 1;
    
35.   }
    
36.   DWORD Pid = pDlg->TransferProcessID(pDlg->strrGamePath.GetBuffer());
    
37.   int a = (int)Pid;
    
38.   UCHAR* InputBuffer = new UCHAR[a];
    
39.   UCHAR* OutputBuffer= new UCHAR[a];
    
40.   BOOL bRet;
    
41.   DWORD dwOutput;
    
42.   //输入缓冲区作为输入，输出缓冲区作为输出
    
43.   bRet = DeviceIoControl(hDevice, IOCTL_TEST1, InputBuffer, a, OutputBuffer, a, &dwOutput, NULL);
    
44.   if (bRet)
    
45.   {
    
46.     pDlg->m_DriverINFORMATION.SetWindowTextW(L"开启保护成功！");
    
47.   }
    
48.   CloseHandle(hDevice);
    
49.   delete []InputBuffer;
    
50.   delete []OutputBuffer;
    
51.   //AfxEndThread(0);
    
52.   ResumeThread(pDlg->ProcessMainThread);
    
53.   pDlg = NULL;
    
54.   return 0;
    
55. }
    
56. UINT __cdecl CDriverProtectDlg::UnInstallDriverThread(LPVOID pParam)
    
57. {
    
58.   CDriverProtectDlg* pDlg = NULL;
    
59.   pDlg = (CDriverProtectDlg*)pParam;
    
60.   pDlg->UpdateData(TRUE);
    
61.   if (pDlg->strPath.IsEmpty())
    
62.   {
    
63.     AfxMessageBox(L"请选择驱动路径！");
    
64.     return 0;
    
65.   }
    
66.   if (pDlg->strrGamePath.IsEmpty())
    
67.   {
    
68.     AfxMessageBox(L"请选择游戏路径！");
    
69.     return 0;
    
70.   }
    
71.   pDlg->UnloadNTDriver(L"HelloDDK");
    
72.   //AfxEndThread(0);
    
73.   pDlg = NULL;
    
74.   return 0;
    
75. }
    
76. 
    

复制代码

Ring 0层的：

1. 
   
2. #include "HookNtOpenProcess.h"
   
3. #include "Function.h"
   
4. 
   
5. int nNtOpenProcessAddr;
   
6. int nHookNtOpenProcessAddr;
   
7. int nHookNtOpenPrpcessJmp;
   
8. int nHookNtOpenPrpcessOldJmp;
   
9. int nObOpenObjectByPointerAddr;
   
10. extern int GameProcessID;
    
11. static __declspec(naked) void MyNtOpenProcess()
    
12. {
    
13.   __asm
    
14.   {
    
15.     push dword ptr [ebp-4]
    
16.     push dword ptr [ebp-4]
    
17.     push dword ptr [ebp+0x0C]
    
18.     push dword ptr [ebp+8]
    
19.   }
    
20.   if (PanDuanProcessID()==GameProcessID)
    
21.   {
    
22.     __asm
    
23.     {
    
24.       jmp nHookNtOpenPrpcessOldJmp
    
25.       call nObOpenObjectByPointerAddr
    
26.       jmp nHookNtOpenPrpcessJmp
    
27.     }
    
28.   }
    
29.   else
    
30.   {
    
31.     __asm
    
32.     {
    
33.       call nObOpenObjectByPointerAddr
    
34.       jmp nHookNtOpenPrpcessJmp
    
35.     }
    
36.   }
    
37. }
    
38. 
    
39. 
    
40. void HookNtOpenProcess()
    
41. {
    
42.   
    
43.   //DbgPrint("要HOOK的进程ID为：%d",GameProcessID);
    
44.   nNtOpenProcessAddr=GetFunCtionAddr(L"NtOpenProcess");
    
45.   char code[13] = {(char)0xFF,(char)0x75,(char)0xFC,(char)0xFF,(char)0x75,(char)0xFC,(char)0xFF,(char)0x75,(char)0x0C,(char)0xFF,(char)0x75,(char)0x08,(char)0xE8};
    
46.   nHookNtOpenProcessAddr=SearchFeature(nNtOpenProcessAddr,code,13)-13;
    
47.   //DbgPrint("nHookNtOpenProcessAddr=%x\n",nHookNtOpenProcessAddr);
    
48.   nHookNtOpenPrpcessJmp=nHookNtOpenProcessAddr+17;
    
49.   nHookNtOpenPrpcessOldJmp=nHookNtOpenProcessAddr+12;
    
50.   //DbgPrint("nHookNtOpenPrpcessJmp=%x\n",nHookNtOpenPrpcessJmp);
    
51.   //DbgPrint("nHookNtOpenPrpcessOldJmp=%x\n",nHookNtOpenPrpcessOldJmp);
    
52.   nObOpenObjectByPointerAddr = GetCallAddr(nHookNtOpenPrpcessOldJmp+1);
    
53.   //DbgPrint("nObOpenObjectByPointerAddr=%x\n",nObOpenObjectByPointerAddr);
    
54.   InLineHookEngine(nHookNtOpenProcessAddr,(int)MyNtOpenProcess);
    
55. }
    
56. 
    
57. 
    
58. void UnHookNtOpenProcess()
    
59. {
    
60.   char code[13] = {(char)0xFF,(char)0x75,(char)0xFC,(char)0xFF,(char)0x75,(char)0xFC,(char)0xFF,(char)0x75,(char)0x0C,(char)0xFF,(char)0x75,(char)0x08,(char)0xE8};
    
61.   UnInLineHookEngine(nHookNtOpenProcessAddr,code,5);
    
62. }
    
63. 
    

复制代码

DriverProtect.rar 为Ring 3层的源码
driver.rar 为Ring 0层的驱动文件及调试用的PDB文件

然后这些代码就可以让CE正常打开进程扫描，修改游戏内存数据了！OD附加功能还在开放中。
如果有志同道合的朋友可以加我这个群一起交流：C/C++，汇编语言，驱动交流群：177822398、 177822108
本人顺便录制了一个教程去讲解代码：
http://pan.baidu.com/share/link? ... 2&uk=3155594444

driver.rar (44.48 KB, 下载次数: 7)

2013-6-11 21:27 上传

点击文件名下载附件
Ring 0 DriverProtect.rar (134.39 KB, 下载次数: 6)

2013-6-11 21:27 上传

点击文件名下载附件
Ring 3

soybeanmeal

在64位win7下怎么会有Ring0hook？？！？？！？！！？

过去式人物

大神，能写个泡泡堂无敌出来么？

最美的叮当

来看看那