TP 是国内腾讯游戏一款比较流行的驱动级保护程序. 

负责保护腾讯每款游戏不被修改破坏, 

  

也许大家也是研究腾讯游戏的爱好者,对腾讯的游戏都有过这样的体会  例如OD与CE无法进行如以下操作: 

无法附加进程, 

无法打开进程, 

游戏进程被隐藏无法在工具中查看到,

内存无法读取代码  

内存修改后游戏掉线   

无法双机进行调试  

出现SX非法模块提示 `

其实以上说的这么多限制 都是因为TP保护造成的.其实这些东西研究了很久后,发现其实就是黑色老大常说的APIHOOK这方面. 7%32E1F)%  

例如DNF的TP保护就是HOOK了以下几个API函数来禁止上面刚才说的那些:  

NtOpenThread    //这是TP防止调试器在它体内创建线程   

NtOpenProcess   //这是TP防止OD等在进程列表看到游戏进程 

KiAttachProcess   //这是TP防止其他软件附加它  

NtReadVirtualMemory  //这是TP防止别人读取它的内存  

NtWriteVirtualMemory  //这是TP防止别人在它的内存里面乱写乱画 

KDCOM.dll:KdReceivePacket  //这是TP这两个是COM串口的接受和发送数据 

KDCOM.dll:KdSendPacket      //这是TP主要用来方式别人双机调试,TP使用了KdDisableDebugger来禁用双机调试.  

TP通过将以上这几个API进行HOOK后 来保护游戏, 看过独立团第四版本易语言辅助教程的人 应该知道 以上的那几个API函数 开头是 Nt 的吧 

Nt开头的是ntdll.dll库中的函数,也正是黑色衬衣老大在第四版本易语言辅助教程中有一篇课程是讲 SSDTHOOK与恢复这方面的.  

那么TP保护它比较变态,并对debugport进行了疯狂的清零操作甚至还包括EPROCESS+70\+74\+78等几处位置处理的手段通常都是向64端口写入FE导致计算机被重启。 

下面我简单看说下以上关键的几个APIHOOK:

1.KiAttachProcess 函数   

2.NtReadVirtualMemory 内存函数 

3.NtWriteVirtualMemory 内存函数

4.NtOpenThread 线程函数   

5.NtOpenProcess 进程函数   

那么前3个函数是可以直接SSDT恢复的 第四版本易语言辅助教程老大讲了如何恢复的 不明白的可以自己去看教程。

第4个函数是有监视,如果直接恢复的话电脑会即刻重启.(TP蛮变态)  

第5个函数和ring3有驱动通信,直接恢复这个函数的话  游戏会在1分钟内弹出SX非法模块提示. 

  

既然我们现在知道了TP保护的保护特点和这几个API分析后的结果.   

接下来就是要做出相应的解除TP保护(也就是这些APIHOOK) 

下面我在梳理一下头绪给出相应的解决方案   

1.首先直接恢复 第1、2、3处的SSDT表中的HOOK  

2.绕过4、5处的HOOK 不采用直接恢复   

3.将TP保护程序中的debugport清零的内核线程干掉 停止该线程继续运行.  

4.恢复硬件断点  

但是要有一个先后的逻辑顺序   

因为内核有一个线程负责监视几个地方,必须要先干掉它。 

但是这个内容我写在了处理debugport清零的一起,也就是第3步。所以大家在照搬源码的时候注意代码执行次序。

下面我们就开始写解除TP保护的代码,因为本人喜欢C++ 所以是c++编写,如果是使用易语言的话 就自己翻译过来吧

先从简单的工作讲起,恢复1、2、3处的HOOK

KiAttachProcess函数的处理的代码:


// 
//  名称:  Nakd_KiAttachProcess 
//  功能:  My_RecoveryHook_KiAttachProcess的中继函数 
//  参数:   
//  返回:   
// 
static NAKED VOID  Nakd_KiAttachProcess() 
{ 
  __asm 
  { 
    mov     edi,edi 
    push    ebp 
    mov     ebp,esp 
    push    ebx 
    push    esi 
    mov    eax,KiAttachProcessAddress  //注意这个是全局变量 BYTE* 
    add    eax,7 
    jmp    eax 
  } 
} 
// 
//  名称:  RecoveryHook_KiAttachProcess 
//  功能:  解除游戏保护对_KiAttachProcess函数的HOOK(DNF) 
//  参数:   
//  返回:  状态 
// 
NTSTATUS My_RecoveryHook_KiAttachProcess() 
{ 
  BYTE    *KeAttachProcessAddress = NULL;  //KeAttachProcess函数地址 
  BYTE    *p; 
  BYTE    MovEaxAddress[5]  = {0xB8,0,0,0,0};  // 
  BYTE    JmpEax[2]      = {0xff,0xe0}; 
  KIRQL    Irql; 
  //特征码 
  BYTE  Signature1 = 0x56,  //p-1 
      Signature2 = 0x57,  //p-2 
      Signature3 = 0x5F,  //p-3 
      Signature4 = 0x5E,  //p+5 
      Signature5 = 0xE8;  //p第一个字节
  //获得KeAttachProcess地址,然后通过特征码找到 
  //KiAttachProcess的地址 
  KeAttachProcessAddress = (BYTE*)MyGetFunAddress(L"KeAttachProcess"); 
  if (KeAttachProcessAddress == NULL) 
  { 
    KdPrint(("KeAttachProcess地址获取失败\n")); 
    return  FAILED_TO_OBTAIN_FUNCTION_ADDRESSES; 
  } 
  //将p指向KeAttachProcess函数开始处 
  p = KeAttachProcessAddress; 
  while (1) 
  { 
    if ((*(p-1) == Signature1) && 
      (*(p-2) == Signature2) && 
      (*(p+5) == Signature3) && 
      (*(p+6) == Signature4) && 
      (*p    == Signature5)) 
    { 
      //定位成功后取地址 
      KiAttachProcessAddress = *(PULONG)(p+1)+(ULONG)(p+5); 
      break; 
    }
    //推动指针 
    p++; 
  }
  //计算中继函数地址 
  *(ULONG *)(MovEaxAddress+1)=(ULONG)Nakd_KiAttachProcess;
  WPOFF();  //清除CR0 
  //提升IRQL中断级 
  Irql=KeRaiseIrqlToDpcLevel(); 
  //写入 
  RtlCopyMemory(KiAttachProcessAddress,MovEaxAddress,5); 
  RtlCopyMemory(KiAttachProcessAddress+5,JmpEax,2); 
  //恢复Irql 
  KeLowerIrql(Irql); 
  WPON();    //恢复CR0
  return  STATUS_SUCCESS; 
}