过TesSafe反WinDbg双机调试

貌似论坛里面有关游戏的贴子都很火，所以发篇帖子涨点人气。

正文：
在论坛搜索了下发现去年的时候有人发过一篇过TesSafe反双机调试的帖子，但是现在已经过时了，并且帖子里面也没提到怎么处理被IAT HOOK的两个函数。在这里呢，我就给大家彻底的讲明白吧。

先开ARK工具看看游戏干了什么。



从图片可以看到游戏启动的时候对ntkrnlmp.exe中的kdcom.KdSendPacket和kdcom.KdReceivePacket两个函数进行了HOOK，通过函数名称就能猜测到函数的用途，一个发包，一个收包，都是com口用来通信的。

怎样恢复这两个函数呢，方面有很多种，列举两个。

1、自己映射内核文件ntkrnlmp.exe，然后通过PE结构遍历ntkrnlmp.exe的导入表，获取导入表中KdSendPacket、KdReceivePacket两个函数的地址在ntkrnlmp.exe中的偏移，然后利用这个偏移修改系统正常运行的ntkrnlmp.exe导入表中的两个函数地址。

但是这里还有一个问题就是，导入表中KdReceivePacket这个位置有代码校验，只要被修改就会重启，所以还得绕过代码校验。所以不推荐这种方法。

2、通过图片可以看到被IATHOOK的两个函数被挂钩后的新地址分别为0xB07920E6，0xB07920F6，相差16个字节。既然不想直接去恢复导入表，那么我们可以在这两个被挂钩后的地址中再跳回正常的KdSendPacket、KdReceivePacket。或许有人又有疑问，这两个挂钩地址处没有代码校验吗，答案是也有校验，只要修改前面几个字节，同样会重启。但是游戏只检测了前面的几个字节，所以只要在靠后一点的地方修改就不会被检测到。



修改后


另外一个也是同样处理函数


这样两个被IATHOOK的函数就相当于被恢复了。

但是上面我们是用工具进行恢复的，而TP启动的时候就已经调用了KdDisableDebugger禁止了WinDbg双机调试，这时候就算恢复了上面的两个函数，同样也无法双机调试。

之所以先讲怎样处理上面的两个函数是因为在TP驱动加载的时候首先进行了IATHOOK，然后调用KdDisableDebugger，如果你先处理KdDisableDebugger，而没有恢复上面两个函数的话，系统会直接重启。

因为要赶在TP调用KdDisableDebugger之前恢复IATHOOK，那么就需要设置一个系统回调函数，然后在加载TP驱动的时候进入我们的回调函数，这时TP已经加载完成，但是还没有开始运行，所以我们可以直接定位到 挂钩地址 处 写入跳转代码到正常的函数。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

//恢复两个被iat hook的函数

 

VOID RenewIATHook(ULONG ImageBase)         

{

    // 模块：KDCOM.dll，函数名称：KdSendPacket，函数地址：ba5a91b2，Hint：0007

    //模块：KDCOM.dll，函数名称：KdReceivePacket，函数地址：ba5a8f4c，Hint：0004

 

    ULONG uKdSend = 0xba5a91b2;     //KdSendPacket的地址硬编码

    ULONG uKdReceive = 0xba5a8f4c;  //KeReceivePacket地址

 

    //因为这两个函数不是导出的，所以我为了省事，就直接这样写了

 

    ULONG uJmpKdSend = ImageBase + 0x20EE;

    //KdSendPacket挂钩函数地址 = ImageBase + 0x20EE; 硬编码 <img src="/view/img/face/16.gif" width="24" height="24">

 

    ULONG uJmpKdReceive = ImageBase + 0x20FE;

 

    ULONG jmpAddr1 = uKdSend - uJmpKdSend - 5;

    ULONG jmpAddr2 = uKdReceive - uJmpKdReceive - 5;

 

    __asm

    {  

        cli

            pushad

            mov     eax,uJmpKdSend

            mov     byte ptr [eax],0xE9

            mov     ebx,jmpAddr1

            mov     dword ptr [eax+1],ebx

 

            mov     eax,uJmpKdReceive

            mov     byte ptr [eax],0xE9

            mov     ebx,jmpAddr2

            mov     dword ptr [eax+1],ebx

 

            popad

            sti

    }

}

 

 

ULONG strEnd(PWCHAR dest,PWCHAR sub)

{

    if (dest == NULL && sub == NULL)

        return 0;

    int ulDest = wcslen(dest);

    int ulSub = wcslen(sub);

 

    if (ulSub == 0 || ulSub > ulDest)

        return 0;

    return !wcscmp(&dest[ulDest - ulSub],sub);

}

 

VOID NotifyRoutine(IN PUNICODE_STRING  FullImageName,

    IN HANDLE  ProcessId, // where image is mapped

    IN PIMAGE_INFO  ImageInfo)

{

              //这个strEnd是一个判断字符串是不是以***结束

         //我记得wdk中有一个函数可以判断的，但是记不起来了，知道的回复下啊<img src="/view/img/face/50.gif" width="24" height="24">

    if (strEnd(FullImageName->Buffer,L"TesSafe.sys"))

    {

                                 //判断加载的驱动是不是TP

        KdPrint(("TesSafe.sys：ImageBase:%08x \t size: %06x\n",

ImageInfo->ImageBase,ImageInfo->ImageSize));

        RenewIATHook((ULONG)ImageInfo->ImageBase);  

    }

}

 

 

#pragma alloc_text("INIT")

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegPath){

    NTSTATUS status;

    UNREFERENCED_PARAMETER(RegPath);

 

    DriverObject->DriverUnload = DriverUnload;

    for (int i=0;i<IRP_MJ_MAXIMUM_FUNCTION;i++)

        DriverObject->MajorFunction[i] = DriverDispatch;

 

 

    KdPrint(("Init\n"));

    PsSetLoadImageNotifyRoutine(NotifyRoutine);

 

    return STATUS_SUCCESS;

}

通过上面的代码就可以对IATHOOK的两个函数进行恢复

编译上面的代码，然后重启虚拟机，加载编译好的驱动运行。

下面就来处理TP调用KdDisableDebugger函数来禁止调试

WinDbg中输入bp KdDisableDebugger

启动DNF登陆器，然后WinDbg断下，



直接修改首行代码 ret 返回即可。

eb 804f8886 0xC3

单步走一下，返回上层函数。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

b094dfd9 57              push    edi

b094dfda 8b782c          mov     edi,dword ptr [eax+2Ch]

b094dfdd 33f1            xor     esi,ecx

b094dfdf 33f9            xor     edi,ecx

b094dfe1 eb4b            jmp     TesSafe+0x702e (b094e02e)

b094dfe3 803d6da295b000  cmp     byte ptr [TesSafe+0x1326d (b095a26d)],0

b094dfea 7516            jne     TesSafe+0x7002 (b094e002)

b094dfec 688a4d6e43      push    436E4D8Ah

b094dff1 6876426e57      push    576E4276h

b094dff6 e873caffff      call    TesSafe+0x3a6e (b094aa6e)

b094dffb c6056da295b001  mov     byte ptr [TesSafe+0x1326d (b095a26d)],1

b094e002 85ff            test    edi,edi

b094e004 7404            je      TesSafe+0x700a (b094e00a)

b094e006 ffd7            call    edi           //call KdDisableDebugger

b094e008 eb24            jmp     TesSafe+0x702e (b094e02e)

b094e00a 803d6ea295b000  cmp     byte ptr [TesSafe+0x1326e (b095a26e)],0

b094e011 751b            jne     TesSafe+0x702e (b094e02e)

b094e013 6812010000      push    112h

b094e018 68e64d6e43      push    436E4DE6h

b094e01d 6873426e57      push    576E4273h

b094e022 e865caffff      call    TesSafe+0x3a8c (b094aa8c)

b094e027 c6056ea295b001  mov     byte ptr [TesSafe+0x1326e (b095a26e)],1

b094e02e 803e00          cmp     byte ptr [esi],0

b094e031 75b0            jne     TesSafe+0x6fe3 (b094dfe3)

 

//跳回去，继续call KdDisableDebugger  ，应该是个while循环，所以把这里nop掉

//ew b094e031 0x9090

 

b094e033 5f              pop     edi

b094e034 5e              pop     esi

b094e035 c3              ret

输入g，继续运行，WinDbg再次断下。

查看调用堆栈：TesSafe+0x7124

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

b094e112 a16ceb95b0      mov     eax,dword ptr [TesSafe+0x17b6c (b095eb6c)]

b094e117 8b402c          mov     eax,dword ptr [eax+2Ch]

b094e11a 330568eb95b0    xor     eax,dword ptr [TesSafe+0x17b68 (b095eb68)]

b094e120 7404            je      TesSafe+0x7126 (b094e126)

b094e122 ffd0            call    eax         //call KdDisableDebugger

b094e124 eb24            jmp     TesSafe+0x714a (b094e14a)

b094e126 803d72a295b000  cmp     byte ptr [TesSafe+0x13272 (b095a272)],0

b094e12d 751b            jne     TesSafe+0x714a (b094e14a)

b094e12f 6882010000      push    182h

b094e134 68e64d6e43      push    436E4DE6h

b094e139 6873426e57      push    576E4273h

b094e13e e849c9ffff      call    TesSafe+0x3a8c (b094aa8c)

b094e143 c60572a295b001  mov     byte ptr [TesSafe+0x13272 (b095a272)],1

b094e14a 8b0d64a295b0    mov     ecx,dword ptr [TesSafe+0x13264 (b095a264)]

//跳到这里，dd b095a264的值是8055d664

//kd> u 8055d664

//nt!KiDebugRoutine:            

 

b094e150 85c9            test    ecx,ecx

b094e152 740f            je      TesSafe+0x7163 (b094e163)

b094e154 a168a295b0      mov     eax,dword ptr [TesSafe+0x13268 (b095a268)]

//这里eax = nt!KdpStub:

 

b094e159 85c0            test    eax,eax

b094e15b 7406            je      TesSafe+0x7163 (b094e163)

b094e15d 3901            cmp     dword ptr [ecx],eax

b094e15f 7402            je      TesSafe+0x7163 (b094e163)

b094e161 8901            mov     dword ptr [ecx],eax

//根据上面的ecx，跟eax的值来看 应该是设置debug函数之类的。

//测试后，发现这条代码执行后，windbg失去通讯。所以直接nop掉

 

 

b094e163 c3              ret

b094e164 cc              int     3

b094e165 cc              int     3

输入g，继续运行，这时WinDbg输出
Shutdown occurred at (Wed Apr 24 11:59:41.193 2013 (UTC + 8:00))...unloading all symbol tables.
Waiting to reconnect...

看样子好像是重启了？ 在切换到虚拟机发现并没有重启。

这个地方经过测试发现如果没有恢复上面的两个IATHOOK，系统就直接死掉了，如果恢复了，虽然windbg输出了上面的信息，但切换到虚拟机之后发现游戏已经到了 输入账号密码 界面。

到了这一步，仍然没完，将虚拟机断下来，再次下bp KdDisableDebugger断点。

发现系统再次断下，因为我们已经在KdDisableDebugger的第一行代码ret了。所以不用担心WinDbg会断开，输入g，再次运行，再次断下。

发现这里应该有一个定时器在不断的调用KdDisableDebugger。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

b0965112 a16c5b97b0      mov     eax,dword ptr ds:[B0975B6Ch]

b0965117 8b402c          mov     eax,dword ptr [eax+2Ch]

b096511a 3305685b97b0    xor     eax,dword ptr ds:[0B0975B68h]

b0965120 7404            je      b0965126

b0965122 ffd0            call    eax           //call KdDisableDebugger

b0965124 eb24            jmp     b096514a

b0965126 803d721297b000  cmp     byte ptr ds:[0B0971272h],0

b096512d 751b            jne     b096514a

b096512f 6882010000      push    182h

b0965134 68e64d6e43      push    436E4DE6h

b0965139 6873426e57      push    576E4273h

b096513e e849c9ffff      call    b0961a8c

b0965143 c605721297b001  mov     byte ptr ds:[0B0971272h],1

b096514a 8b0d641297b0    mov     ecx,dword ptr ds:[0B0971264h]

b0965150 85c9            test    ecx,ecx

b0965152 740f            je      b0965163

b0965154 a1681297b0      mov     eax,dword ptr ds:[B0971268h]

b0965159 85c0            test    eax,eax

b096515b 7406            je      b0965163

b096515d 3901            cmp     dword ptr [ecx],eax

b096515f 7402            je      b0965163

b0965161 90              nop

b0965162 90              nop

b0965163 c3              ret

这里怎么处理，直接把call eax nop掉吗，很不幸，哪条代码也有校验，一改就重启了。不过哪个位置不能改，我们可以改别的位置。在这个函数头部b0965112 的位置直接 jmp b0965124 跳过call eax即可。

这样就可以完全的解决了TP的反双机调试。

以前的那篇文章里面提到在登陆游戏过程中还会调用KdDisableDebugger，但我测试之后发现直到进入游戏里面也没有再断下来过。。。



然后，可以去邪恶了。。。。

源码也贴上吧，都是用硬编码写的，自己修改修改就可以了。