HS的探討

diddom

這幾天因朋友的邀請, 希望能對 HS多點了解

於是加入他們的行列, 幾經這幾天的研究,

他可怕的是它的 Packer (TMD), 很不錯的花指令, 保護著他

只是更想知道裡面的VM到底是不是他寫的 (應該是TMD的)

因為我很懶惰, 直接 Dump 出來後, 全手工恢復 Ehsvc.dll 這檔案

再進行了解它內部作業, 基本上 TMD_CISC脫殼腳本.txt 這可脫掉它的殼

不過因為我想了解它內部原理, 也挨了幾次悶棍

有哪位大俠了解其內部的,  希望不令奢教

PS1. 不是直接寫Kernel Driver對抗的技術

PS2. 我只想探討它的技術, 不是筆戰, 只是探討

PS3. HackShield 他雖然只用於遊戲方面, 但它內涵的知識可讓你領略程式設計的奧妙

yxd199512041

对HS有些了解。lz你玩CSOL不?
输入法注入可以过HS,Nt

diddom

sb666 发表于 2012-6-27 16:48
我认为，想要完整逆向加了vm的驱动代码是非常麻烦的，如果你是需要了解他的简单工作原理，倒是可以交流一下 ...

    是的, 要直接逆向含有VM的確是困難,我今天把已經 Unpack 完成後的 Ehsvc.dll 重新審視一遍

決定將裡面以 MZ 開頭的區塊, 提取出來成一個檔案, 然後慢慢解讀, 好累喔, 因為我用最笨的方法 ><"

diddom

yxd199512041 发表于 2012-6-27 18:02
对HS有些了解。lz你玩CSOL不?
输入法注入可以过HS,Nt

yxd199512041兄:

    我現在沒玩OL遊戲了, 因為朋友玩的某個OL遊戲的 HS 升級了, 升級後的版本為 5.5.20.210

於是找我和幾個以前有在破解程式的朋友一起研究探討它新版的功能, 脫殼後(unpack)還是跟以前一樣

用OllyDbg跟進去後一樣會遇到一堆花指令(jump), 不過目前的版本遇到花指令後,裡面就會檢測是否在

VM, 還有是不是 debugger is present, 以前沒有, 以前只要下斷在某函數就可閃過花指令的部分

對了, yxd199512041兄, 請教你一下, 你說過 HS 的輸入法注入原理是什麼呢?

yxd199512041

diddom 发表于 2012-6-29 04:17
yxd199512041兄:

    我現在沒玩OL遊戲了, 因為朋友玩的某個OL遊戲的 HS 升級了, 升級後的版本為 5.5.20 ...

等放假我给你源码吧

yxd199512041

diddom 发表于 2012-6-29 04:17
yxd199512041兄:

    我現在沒玩OL遊戲了, 因為朋友玩的某個OL遊戲的 HS 升級了, 升級後的版本為 5.5.20 ...

等放假我给你源码吧

yxd199512041

diddom 发表于 2012-6-29 04:17
yxd199512041兄:

    我現在沒玩OL遊戲了, 因為朋友玩的某個OL遊戲的 HS 升級了, 升級後的版本為 5.5.20 ...

等放假我给你源码吧

yxd199512041

{:soso_e127:} 在屏幕上多点了几下，就。。。