實驗對象 希望online
遊戲為 32位元
反作弊 Nprotect GameGuard
目的 : 手工 Bypass
遊戲開始
也老是收到私訊問我會不會改ㄐㄐ狗
會不會改ㄐㄐ貓 窩不想改 窩只想ㄐㄐ
然後我知道維ㄐ百科把Np講得很可怕很可怕很可怕
所以窩根本不想去敘述它
直接真槍實戰不是最快?
首先開啟遊戲
打開Process Hacker
進入遊戲
我們先觀察GameMon.des
你會發現Np載入
從先人留下ㄉ資料表示當NpggNt.des被Load後
就不能對其程式上下其手
但是我命由我不由天
來觀察Thread情況
你可以發現Priority有一個thread的type為Highest
依我的推斷它是跟主程式交互的thread
所以這個thread絕對不能消失
再來我們查看GameMon64.des
上面並沒有與GameMon相同的情況
但是一個問題來了為甚麼遊戲為32位元卻有64位元的副程式?
答案就是Driver! 我在反作弊加了Driver!!!
所以開始準備料理這三樣菜品
首先在三個都存在的情況打開CE對自己開啟進程
檢測老祖宗的智慧
你會發現你被Np侵犯了
所以你必須大聲說出我不要
第一件事
把GameMon64給kill掉
接下來過一陣子遊戲就關掉了
這不是廢話?先回到剛剛最初的起點
這次我們框選三個程式並暫停它
很不幸的是
它會自動關閉 (這問題是因為我匯報害的)
不過沒關西沒關西沒關西
總有出路
再回到最初的起點
先Kill GameMon64
再框選剩下的程式並暫停
然後重新開啟CE 一樣選擇自身開啟進程
你會發現你沒有被Np侵犯了!!!
現在你以為你可以為所欲為了?
答案是錯!
你的寫入還是被Driver給擋住了
而且遊戲被暫停了你也無法遊玩
現在你可以把我之前所敘帶有highest的thread 重新開放
接著恢復遊戲本身
接著我們試著進入遊戲
你又成功了!!!
但是這並不是真正的成功
因為他已經預先載入該死的功能 所以它幾秒後就會關閉遊戲
正確流程為 Loading遊戲時 快速kill GameMon64.des
接下來暫停 GameMon.des
並只恢復 GameMon.des裡 Thread帶有Highest的thread
其餘都要保持暫停狀態
這樣才會停止它的監測程序以及與GameMon64.des的交互
不要問我為啥知道? 因為我測出來也不想寫詳細
詳細寫太清楚又沒人看 簡直浪費時間
回到主題
現在窩們還差一步就完成了
那就是如何可以寫入記憶體
我們需要利用神器 Windows-Kernel-Explorer
(不會用不要問我)
打開它
點選 kernel裡的Callback
點選上方 Module 讓他把相同的整理起來
你會發現三個地址 對應的Module都是 希望用的Driver
然後這三個都不能kill掉
窩們從組語觀察PreCall
窩們要的目的就是不往裡面做
所以我們必須用魔法打敗魔法
撰寫Driver對抗
因為沒有憑證所以你必須利用KDU或KDMAPPER這類的強制執行
成功後再嘗試讓CE對遊戲程式隨意寫入資料
Bypass完成
細節不想寫 麻煩又好累
影片
