hackshield是一款网游反黑客系统。主要功能在EHSvc.dll中,通过驱动来修改SSDT进行反调试。驱动文件是作为附加数据绑在EHSvc.dll文件尾部。动态的解出,加载完毕马上删除(大概存在几秒钟就被删掉了)。
目前的成果
1.让EHSvc.dll被脱壳后,也能通过hackshield系统的自效验。
2.去掉反调试。
函数的作用
#1:初始化 return value: 0
#2:加载驱动 return value: 0
#10:初步的自效验 return value: 0
#14:内存效验.
临时的解决方法
1.修改EHSvc.dll的#10函数让其eax永远返回0.
2.修改EHSvc.dll的#2函数让其不加载驱动,并且eax返回0
#1函数的流程分析
9个参数
0.属于Freestyle模块的函数的地址,估计是freestyle提供的回调函数。
1.验证主程序freestyle.exe文件名的key=3ECh.(发现只要文件名前面为freestyle就可以通过)
2.主程序文件名Hash后的散列.用peid算法的识别插件显示使用的hash函数为HAVAL-128
3.DWORD标志字段,每一位都有含义.目前意义不祥
4.注册表中packver的键值,本机为3032601h
5.一个标志字段.freestyle.exe传过来的值为2.和驱动加载有关,具体用途不明.这个值要影响一系列的标志位.
6. Hackshield Ehsvc.dll的文件名(带路径)
7.GetTickCount的地址
8.GetSystemTime的地址
大概的流程
首先在注册表HKCU下创建Software\\AhnLab\\HShield项.如过存在就打开.
将Ehsvc.dll的路径信息写入默认的键值,将3032601h键值写入 packver
然后查询log键的值,但是我的注册表里面没有这个键.(奇怪的地方),这个log键关系到一个全局变量的值.
接下来:
用参数3当作标志
第9位是否置10
如果是则设置一系列全局变量----这里必为1
根据全局变量,判断#1是否已经成功的调用过.
判断是否传入了回调函数的地址
判断是否传入了主程序文件名的Hash值
如果通过
1.检查当前运行主程序的文件名是否和原始的一样
用参数3当作标志
第15位是否置1
如果是则设置一系列全局变量----这里必为0
不为0,将要启动一个新的线程,作用不明.
用参数3当作标志
第10位是否置1
如果是则设置一系列全局变量----这里必为0
不为0也要执行一些不明作用的操作.
判断操作系统,如果是2000以上,操作系统版本全局变量=1