Bypass HackShield Memory Protection by fileName White Sheet

大大請無視,此篇只是在說明如何利用 HackShield 的白名單進行繞過進程保護...

想寫這篇是因為在去年底(芥末日隔天?)隨著 KNowlet Engine 釋出了幾種已有大大幾乎開發好了的過保護方法,有些甚至可以直接使用,結果一堆人有看沒有到,不自己嘗試,還一直問。(而且此現象還在繼續...

所以上班無聊就寫了個 Demo 來給大家示範一下了... (喂



Demo 示範使用白名單透過修改檔名達到繞過進程保護(達成可以在遊戲內讀取記憶體的效果)

這應該是最簡單的 Bypass 方法了(當然大前提是有大大提供白名單...

優點:
在大前提下,非常簡單方便容易,沒有相容性問題

缺點:
在工作管理員看到的進程名稱不會是原本的檔名

方法:
都講的這麼明了還不會?去拆那個 Demo 吧,沒混淆放心...

範例:
Demo 點此下載(右上角倒數完畢後按下「跳過廣告」即可下載)

備註:
此 Demo 並沒有修改映像路徑(ImagePath)


留言

  1. 您好,已看過demo的code,有個疑問想請教
    試過svchost,taskmgr這些白名單內的,但都無效
    只有用原本的才能讀到,這是什麼原因呢?

    回覆刪除
    回覆
    1. 作者已經移除這則留言。

      刪除
    2. 其實這個問題很有趣.. 根據這兩篇
      http://knowlet3389.blogspot.tw/2011/12/imagepath.html
      http://knowlet3389.blogspot.tw/2012/08/ring3hs-inline-hook.html

      我們可以理解 HackShield 會對特定的程序設置白名單,可是在白名單之中很多都是系統進程,也就是說它的路徑一定是在電腦系統的某個地方,是固定的,所以 HS 就會透過檢查其 ImagePath 的方式來檢查路徑而非檢查檔名(進程名)。
      反過來說像是我 Demo 中用的 patcher.exe 就是他們廠商的一個更新器,那因為不是系統的東西,也無法限制使用者安裝位置,HS 無法確定他的路徑都是固定的,所以只有去檢查他的檔名(進程名)而已。

      不知道這樣說有沒有懂?

      像你測試用的 svchost、taskmgr 都是系統程式,HS 是檢查他們的 ImagePath,如果想用這兩個進程進行繞過就要參考文章中修改映像路徑的方法了!

      刪除
    3. 感謝,解釋得很詳細^^
      另外HandleCreated這裡以前寫過類似的code,不過沒想過加在這裡
      跟Load相較下是前者優先執行,省掉建立表單的時間
      呃...這樣說應該沒錯吧XDD

      刪除
  2. Hi! 請問您有沒有破新的HackShield (ehsvc: 5.6.28.404) ? 我是用跑跑卡丁車的HS,知道增加了一個callback~ 但不會處理...或者您有楓之谷伴侶的作者的聯繫方式 (wc2522) ,因為我沒有S.B外掛論壇的帳號Q_Q ,還是您自己有搞呢... 謝謝!

    回覆刪除

張貼留言

本月最夯