XTrap保护中的IDTHOOK恢复

最近比较懒什么东西都没学。研究了两天传说中的三大游戏保护中的一个,叫XTrap.据说是三个保护中最弱的一个。但是能力有限,还是没有过掉保护。哎,失败。不过从中学到了点知识。留个记录。
XTrap保护在驱动里用SSTD HOOK了NtDeviceIoControlFile,NtOpenProcess,NtOpenSection
NtProtectVirtualMemory 等几个API. Shadow SSDT也HOOK了 NtUserFindWindowex
NtUserSetWindowsHookEx等几个API。他还在应用层也HOOK了一些仿调试函数。这些防护可以通过简单的恢复来绕过。

Continue reading


SSDT HOOK


这是我写的第一个驱动程序,呵呵。虽然烂了点,但是有纪念意义。放在这里留个纪念,这个程序用到了,SSDTHOOK 应用程序和驱动程序
通信等知识,代码比较凌乱。
先简单说一下SSDT HOOK。应用程序的API在使用的时候要调用系统的低层的API,那么系统如何找到对应的API呢?在系统里有一张表。
System Services Descriptor Table,系统服务描述符表。在这个表里就有各种系统API的地址,我们只要把这些地址改成我们自己函数的地址。那么结果大家可想而知了,系统就会调用我们的API了。道理就是这么简单。

Continue reading