说说过游戏保护一
一.?论驱动反外挂?
随着国内软件安全行业的发展,驱动这一名词逐渐被摘去神秘的光环.?而3721的出现,告诉了人们驱动这东西不仅仅是用于硬件?
越来越多的人认识到驱动的巨大作用,当<<MU>>引入了?nProtect?反外挂系统后,似乎驱动反外挂成了相当理想的选择.?
但这一切,只是看起来很美.?随着越来越多的ROOTKIT出现,各大杀毒厂商逐渐的加强了这一方面的监控.?越来越多的各类监控?
软件也使得驱动反外挂举步维难.?
在进入正题之前,首先要明确一点.?你的驱动将是游戏客户端的组成部分,?很多ROOTKIT上可以用的手段你不能使用.?
游戏玩家并不是专业人士,他们更相信他们所选择的杀毒软件.?总不能当你的游戏运行时,杀毒软件便提示说?-?这是个ROOTKIT?
首先我们抛开驱动的兼容性不谈?-?这也没法谈,?正如你驾驶汽车,你可以保证自己不出错.?但是你能保证其他人都能吗??
说到驱动反外挂,你应该立马想到?HOOK?SSDT与SSSDT?拦截API防止游戏进程被修改.?可是这真的那么有效吗??
好吧,你想说阻止?OpenProcess,ReadProcessMemory,WriteProcessMemory?这三个API就好??不?-?相信我,这只能防防菜鸟而已.?
即使你不考虑兼容性把?PsLookupProcessByProcessId,ObOpenObjectByPointer,ObOpenObjectByName,KeAttachProcess?等?
全部HOOK,真的就能阻止修改了吗??
不,我们来看看下面的代码.?
复制内容到剪贴板?
代码:?
Function?GetInfoTable(ATableType:dword):Pointer;?
var?
mSize:?dword;?
mPtr:?pointer;?
St:?NTStatus;?
begin?
Result?:=?nil;?
mSize?:=?$4000;?
repeat?
mPtr?:=?VirtualAlloc(nil,?mSize,?MEM_COMMIT?or?MEM_RESERVE,?PAGE_READWRITE);?
if?mPtr?=?nil?then?Exit;?
St?:=?ZwQuerySystemInformation(ATableType,?mPtr,?mSize,?nil);?
if?St?=?STATUS_INFO_LENGTH_MISMATCH?then?
begin?
VirtualFree(mPtr,?0,?MEM_RELEASE);?
mSize?:=?mSize?*?2;?
end;?
until?St?<>?STATUS_INFO_LENGTH_MISMATCH;?
if?St?=?STATUS_SUCCESS?
then?Result?:=?mPtr?
else?VirtualFree(mPtr,?0,?MEM_RELEASE);?
end;?
function?iOpenProcess(ProcessId:DWORD):DWORD;?
var?
HandlesInf?PSYSTEM_HANDLE_INFORMATION_EX;?
ClientID:TClientID;?
pbi:_PROCESS_BASIC_INFORMATION;?
oa:TObjectAttributes;?
hProcessCur,hProcessToDup,hProcessToRet:DWORD;?
Ret:DWORD;?
I:Integer;?
begin?
SetPrivilege(’SE_DEBUG’,TRUE);?
Result:=0;?
FillChar(oa,SizeOf(TObjectAttributes),0);?
FillChar(ClientID,SizeOf(TClientID),0);?
oa.Length:=SizeOf(TObjectAttributes);?
HandlesInf=GetInfoTable(SystemHandleInformation);?
for?I:=0?to?HandlesInfo^.NumberOfHandles?do?
begin?
If?(HandlesInfo^.Information.ObjectTypeNumber=5)?Then?//OB_TYPE_PROCESS?
ClientID.UniqueProcess:=HandlesInfo^.Information.ProcessId;?
If?ZwDuplicateObject(hProcessToDup,HandlesInfo^.Information.Handle,GetCurrentProcess,@hProcessCur,PROCESS_ALL_ACCESS,0,$4)=STATUS_SUCCESS?then?
If?ZwQueryInformationProcess(hProcessCur,ProcessBasicInformation,@pbi,Sizeof(_PROCESS_BASIC_INFORMATION),@Ret)=STATUS_SUCCESS?then?
If?(pbi.UniqueProcessId=ProcessId)?Then?
If?ZwDuplicateObject(hProcessToDup,HandlesInfo^.Information.Handle,GetCurrentProcess,@hProcessToRet,PROCESS_ALL_ACCESS,0,$4)=STATUS_SUCCESS?then?
begin?
Result:=hProcessToRet;?
Break;?
end;?
end;?
if?hProcessCur>0?then?ZwClose(hProcessCur);?
if?hProcessToDup>0?then?ZwClose(hProcessToDup);?
VirtualFree(HandlesInfo,0,MEM_RELEASE);?
SetPrivilege(’SE_DEBUG’,FALSE);?
end;?
这是枚举系统中所有已知举柄达到取得进程Handle的函数.?你或许会认为,拦截ZwDuplicateObject,ZwQueryInformationProcess不就解决问题了??
这没错,你是对的.但是你不能这样做,你做的是反外挂,不是ROOTKIT,?当你尝试这样做的时候,你会发现你的杀毒软件提示你.?这是ROOTKIT的典型行为?
怎么办??难道你要象ROOTKIT那样关闭掉玩家的杀毒软件??还是联系各大杀毒软件厂商告诉他们:?麻烦您修改你们的规则??
